勒索病毒攻击新玩法，先盗数据再勒索

2019年是勒索病毒团伙针对企业进行勒索攻击爆发的一年，全球多个国家的政府组织机构、企事业单位都成为了勒索病毒团伙攻击的目标，勒索病毒也成为了网络安全最大的网络安全威胁，新的勒索病毒不断涌现，旧的勒索病毒不断变种，2019年马上结束了，然而勒索病毒攻击却更加频繁，全球似乎每天都有勒索病毒攻击的新闻出现，最近两款勒索病毒攻击团伙，又使用了新的玩法，先利用恶意软件盗取企业数据，再使用勒索病毒加密企业数据，不交赎金就公布企业的数据，逼迫勒索病毒的受害者交赎金解密，勒索病毒团伙已经开始“打家劫舍 敲诈勒索”……

Maze勒索病毒团伙向Southwire勒索600万美元的赎金，Southwire是北美领先的电线电缆制造商之一，拥有7,500多名员工，2018年的收入为61亿美元，超过了2017年的55亿美元。这家电线制造商也在《福布斯》美国最大的私人公司名单中，如果Southwire不交赎金，Maze勒索病毒团伙会在网站上公布该公司的数据，Maze勒索病毒团伙试图利用这种方法，逼迫受害者交赎金

Maze勒索病毒团伙在互联网上创办了一个专用网站，并在该网站上公布了一些受害者的信息，如下所示：

最近Maze勒索病毒团伙，再次更新其受害者名单和企业相关数据文件，如下所示：

Southwire数据泄露的时间为:2019年12月9日，泄露的数据大小为：120GB

DV-GROUP数据泄露的时间为:2019年12月1日，泄露的数据大小：7GB

Fratelli Beretta数据泄露的时间为：2019年12月1日，泄露的数据大小：3GB (以上数据均来自网络，不保证数据的准确性)，受害者名单可能还会继续更新……

2020年这种新的攻击方法，会不会也被更多勒索病毒团伙效仿流行起来，先利用恶意软件盗取企业的数据，再投放勒索病毒进行加密，目前Sodinokibi勒索病毒团伙似乎对这种新的玩法表示感兴趣，此前安全研究人员在分析这款勒索病毒的时候，发现这款勒索病毒在感染勒索病毒的过程中，有盗取企业数据的可疑行为

同时最近国外安全研究人员又发布了一款新型勒索病毒攻击案例，该勒索病毒攻击会先利用Azorult窃密木马盗取企业的数据，再通过Zeppelin勒索病毒加密勒索企业，如下所示：

这款最新的勒索病毒变种，同时被国外一家安全公司发现并进行了详细分析报道，该勒索病毒利用ConnectWise Control(ScreenConnect)远程桌面应用软件进行传播，其攻击流程，如下所示：

同时安全研究人员发现此次攻击使用了Vidar窃密木马盗取受害者数据，然后再使用Zeppelin勒索病毒变种加密文件，报告链接：

https://blog.morphisec.com/connectwise-control-abused-again-to-deliver-zeppelin-ransomware

Zeppelin勒索病毒是一款基于Delphi语言编写的，采用RaaS(勒索即服务)模式分发的勒索病毒，最初此勒索病毒称为Vega或VegaLocker，Vega勒索病毒最早于2019年初首次被发现，Vega勒索病毒在一年的时间内，不断变种，后面又出现了它的几个不同的变种版本，例如：Jamper(Jumper)勒索病毒、Storm勒索病毒，Buran勒索病毒，都是属于Vega勒索病毒的变种版本，最新的变种Zeppelin勒索病毒具有很高的可配置性，可以部署为EXE、DLL或使用PowerShell加载器加载，使用PowerShell加载的Zeppelin勒索病毒的样本大多托管在Pastebin上(这个网站上面托管了大量的恶意软件)，此勒索病毒变种版本的勒索提示信息文件!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT，内容如下所示：

Zeppelin勒索病毒是Vega勒索病毒家族中最新的一款勒索病毒，此家族之前最新的变种是Buran勒索病毒，通过多种方式进行传播，Vega勒索病毒家族的勒索提示信息文件，内容类似如下所示：

Zeppelin勒索病毒与Buran勒索病毒同属于Vega(VegaLocker)勒索病毒家族，Zepplelin勒索病毒算是Buran勒索病毒的最新变种，目前发现的几例Zeppelin勒索病毒攻击传播的过程中都使用了窃密类木马程序，盗取受害者数据，再使用Zeppelin勒索病毒加密勒索受害者。

勒索病毒攻击变的越来越有针对性，技术也越来越成熟，使用的攻击方法和方式也在不断更新，一些技术成熟的黑客组织也加入到勒索病毒攻击的行业当中，Sodinokibi勒索病毒团伙一直在招募经验丰富的黑客加入其组织，根据网络安全公司Coveware Inc.的数据，随着攻击变得更加频繁，受害者在2019年第三季度向黑客支付的用于恢复其数据的平均费用从一年前的约6,000美元增至约41,000美元,网络安全公司Emsisoft上周表示，今年美国针对政府机构，教育机构和医疗保健提供者的勒索病毒攻击造成的损失估计至少达75亿美元，可想而知，全球因为勒索病毒的攻击而造成的损失有多大了，勒索病毒攻击已经成为全球最大的网络安全威胁。

2019年10月9号总部设在荷兰海牙的欧洲刑警组织与国际刑警组织共同发布报告《2019互联网有组织犯罪威胁评估》，报告指出数据已成为网络犯罪分子的主要攻击目标，针对企业数据的攻击，主要方式为：盗取、破坏，此前勒索病毒攻击主要以破坏数据，勒索受害者为主，通过交赎金的方式获取暴利，Maze勒索病毒采用了以公开企业数据来逼迫受害者交赎金的方式，未来会不会被更多的勒索病毒团伙效仿Maze勒索病毒的方式，先利用恶意程序盗取企业数据，再使用勒索病毒加密文件进行勒索，然后再通过公布企业数据的方式，逼迫企业交赎金

预测勒索病毒攻击在明年可能会越来越多，而且使用的攻击手法会越来越复杂，攻击也会越来越具有针对性和目的性，不排除未来会有更多的新型黑客组织或者成熟的黑客组织加入进来，通过勒索病毒与其他恶意程序相结合的方式最大限度地获取暴利，各企业要做好相应的防范措施，提高自身员工的安全意识，以防中招