【文章转载】DragonForce与Anubis再掀风暴:勒索软件“加盟制”全面升级,你的数据还安全吗?
【文章转载】DragonForce与Anubis再掀风暴:勒索软件“加盟制”全面升级,你的数据还安全吗?
solarsec solar应急响应团队 2025-04-27 07:41
点击蓝字 关注我们
尽管国际执法部门成功打击了多个知名勒索软件组织,但网络犯罪分子依然展现出极强的韧性和适应能力。2025年,Secureworks® 威胁对抗中心(Counter Threat Unit™,简称CTU)研究人员观察到,DragonForce 和 Anubis 勒索软件运营者引入了新的商业模式,以吸引更多加盟者并提升盈利能力。
DragonForce:分布式加盟品牌模式
DragonForce 于2023年8月首次出现,最初作为传统的勒索软件即服务(RaaS)模式运营。自2024年2月在地下论坛上开始推广后,截至2025年3月24日,DragonForce泄露网站上公布的受害者数量已稳定增长至136个。
2025年3月19日,DragonForce在一篇地下论坛公告中宣布,品牌将重塑为“卡特尔”(Cartel),并转向一种分布式模式,允许各加盟者(Affiliates)创建自己的“品牌”(见图1)。
图1. DragonForce宣布转向可定制加盟模式
在这一新模式中,DragonForce为加盟者提供基础设施和工具,但不强制要求使用其指定的勒索软件。官方宣传的功能包括:管理与客户端面板、加密与勒索谈判工具、文件存储系统、基于Tor的泄露站点及.onion域名,以及相关支持服务。
这一策略使DragonForce区别于其他RaaS平台,吸引了更广泛的加盟对象。例如,基础设施和现成工具降低了技术门槛,使技术水平有限的攻击者也能参与。而对于技术更成熟的攻击者来说,这种灵活性允许他们使用自定义的恶意软件,同时无需自行搭建和维护基础设施。
通过扩大加盟者群体,DragonForce有望实现更高的盈利潜力。然而,共享基础设施也引入了风险:一旦某个加盟者遭到破获,其他加盟者的运营细节和受害者信息也可能一并暴露。
Anubis:三种勒索选项
Anubis运营者采取了另一种方式来吸引加盟者。这一勒索计划于2025年2月底在地下论坛首次曝光,提供三种勒索模式:
– RaaS模式
:传统勒索,涉及文件加密,加盟者可获得赎金的80%;
-
数据勒索模式
:仅窃取数据进行敲诈,加盟者可获得赎金的60%; -
入侵变现模式
:协助已经入侵成功的攻击者勒索受害者,加盟者可获得赎金的50%。
在“数据勒索”模式中,攻击者会在受密码保护的Tor网站上发布一篇详细的“调查报告”,分析受害者的敏感数据。受害者可通过链接查看报告并协商支付赎金。如果拒绝支付,攻击者威胁将在Anubis泄露站点上公开该报告。
为了增加压力,攻击者还会通过X平台(原Twitter)公布受害者名称,并声称将通知受害者的客户。更进一步,Anubis运营者威胁要向以下监管机构报告数据泄露事件:
– 英国信息专员办公室(ICO)
-
美国卫生与公共服务部(HHS)
-
欧洲数据保护委员会(EDPB)
虽然这种向监管机构举报的手段尚不普遍,但已有先例:2023年11月,GOLD BLAZER攻击组织曾在一名受害者拒绝支付赎金后,将ALPHV(又名BlackCat)攻击事件报告给了美国证券交易委员会(SEC)。截至目前,CTU研究人员尚未发现其他勒索团伙有类似操作。
在“入侵变现”模式中,加盟者可利用攻击组织提供的受害者数据分析结果,在勒索谈判中加大施压(见图2)。
图2. Anubis“入侵变现”服务广告
广告中明确指出,不接受部分地区和行业的受害者作为目标。与许多勒索组织类似,Anubis禁止攻击后苏联国家的组织,同时也排除了金砖国家成员(巴西、俄罗斯、印度、中国、南非、埃及、埃塞俄比亚、印尼、伊朗、阿联酋)。
此外,Anubis明确禁止针对教育机构、政府机构和非营利组织,但并未提及医疗机构。由于医疗行业拥有大量敏感数据且受严格合规要求制约,因此在Anubis模式下可能成为攻击的优选目标。
未来展望
Secureworks发布的《2024威胁态势报告》强调,勒索软件仍然是企业组织面临的重大威胁。尽管部分勒索组织因执法打击而瓦解,但新的运营模式不断涌现。
第三方报告显示,整体赎金支付金额正在下降。这一趋势在不断增长的泄露网站受害者数量中也得到了印证,表明越来越多的受害者选择不支付赎金。为扭转这一趋势,网络犯罪分子正采用更加创新的商业模式和更具攻击性的施压手段。
尽管是否支付赎金需基于受害组织的自身风险评估,但支付赎金并不能保证数据能够恢复或避免信息泄露。采取积极的预防措施更为有效。
CTU研究人员建议组织采取以下防御措施:
– 定期为外网设备打补丁;
-
实施抗钓鱼的多因素认证(MFA)并纳入条件访问策略;
-
保持可靠的备份体系;
-
监控网络和终端,及时发现恶意活动。
同时,组织应制定并定期演练应急响应计划,以便在遭遇勒索攻击时迅速修复。美国网络安全与基础设施安全局(CISA)和英国国家网络安全中心(NCSC)也发布了相关勒索防护指南。
原文链接
https://www.secureworks.com/blog/ransomware-groups-evolve-affiliate-models
以下是solar安全团队近期处理过的常见勒索病毒后缀:
勒索攻击作为成熟的攻击手段,很多勒索家族已经形成了一套完整的商业体系,并且分支了很多团伙组织,导致勒索病毒迭代了多个版本。而每个家族擅用的攻击手法皆有不同,TellYouThePass勒索软件家族常常利用系统漏洞进行攻击;Phobos勒索软件家族通过RDP暴力破解进行勒索;Mallox勒索软件家族利用数据库及暴力破解进行加密,攻击手法极多防不胜防。
|
|
相关文章 |
|
|
|
|
|
|
而最好的预防方法就是针对自身业务进行定期的基线加固、补丁更新及数据备份,在其基础上加强公司安全人员意识。
|
|
相关文章 |
|
|
【教程分享】勒索病毒来袭!教你如何做好数据防护 |
|
|
|
案例介绍篇
聚焦于真实的攻击事件,还原病毒家族的攻击路径和策略,为用户提供详细的溯源分析和防护启示;
|
|
相关文章 |
|
|
【案例介绍】赎金提高,防御失效:某上市企业两年内两度陷入同一勒索团伙之手 |
|
|
【成功案例】某集团公司的Phobos最新变种勒索病毒jopanaxye解密恢复项目
|
|
|
【成功案例】某集团公司的Phobos最新变种勒索病毒2700解密恢复项目
|
|
|
【成功案例】间隔数月双团伙先后利用某ERP0day实施入侵和勒索的解密恢复项目
|
|
|
【成功案例】利用多款国产内网渗透工具勒索数十台虚拟机的babyk解密恢复项目
|
|
|
【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵
|
|
|
【成功案例】lockbit家族百万赎金不必付!技术手段修复被加密的数据库,附溯源分析报告
|
漏洞与预防篇
侧重于技术层面的防御手段,针对病毒利用的漏洞和安全弱点,提出操作性强的应对方案:
|
|
相关文章 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
应急响应工具教程篇
重点分享应急响应过程中常用工具的安装、配置与使用说明,旨在帮助读者快速掌握这些工具的操作流程与技巧,提高其在实际应急场景中的应用熟练度与效率。
|
|
相关文章 |
|
|
|
|
|
【应急响应工具教程】取证工具-Volatility安装与使用 |
|
|
【应急响应工具教程】流量嗅探工具-Tcpdump
|
|
|
【应急响应工具教程】一款精准搜索文件夹内容的工具–FileSeek
|
|
|
【应急响应工具教程】一款自动化分析网络安全应急响应工具–FindAll |
|
|
|
|
|
|
|
|
|
|
|
|
如果您想了解有关勒索病毒的最新发展情况,或者需要获取相关帮助,请关注“solar专业应急响应团队”。
更多资讯 扫码加入群组交流
喜欢此内容的人还喜欢
【紧急警示】Weaxor最新变种“.wxx”来袭,批量入国内知名财务类管理系统发起勒索攻击!
索勒安全团队
索勒安全团队
【病毒分析】伪造微软官网+勒索加密+支付威胁,CTF中勒索病毒解密题目真实还原!
索勒安全团队