安天安全研究：RaaS定向勒索的模式解析与波音遭遇攻击事件复盘（29页）.pdf

1、RaaS+定向勒索的模式解析与波音遭遇攻击事件复盘安天安全研究与应急处理中心RaaS+定向勒索的模式解析波音公司遭受攻击事件复盘0102RaaS+定向勒索的模式解析01勒索攻击的演进史时间阶段勒索攻击早期阶段加密勒索兴起勒索即服务（RaaS）模式多重勒索模式标志事件1989年AIDS勒索软件通过物理媒介进行传播，锁定用户访问，标志着勒索攻击的开端2013年CryptoLocker首次采用非对称加密算法加密本地与内部网络的特定类型文件，迫使受害人付出高额比特币获取解密服务2016年Tox勒索软件允许攻击者在其平台上注册并使用勒索工具，无需开发自己的恶意软件Maze勒索团伙不仅对受害者的系统进行加

2、密，还窃取了数据，并在公开的“泄露网站”上发布了部分数据，以证明他们的威胁是真实的。关键基础计算机网络和个人计算机的普及加密货币的兴起使得匿名支付变得可能加密通信技术的发展使得普通人员可以在TOR等网络网络匿名通信和交易数据泄露对受害人造成更大威胁，迫使其支付赎金，引发其他勒索组织效仿。演进推动加密技术被证实可以用于执行勒索，为未来的勒索攻击奠定了基础加密货币降低了攻击者被追踪风险，推动加密勒索的发展RaaS模式的引入使得勒索攻击更为普遍、复杂和难以追踪双重或多重勒索攻击被更多的勒索组织所采纳，开始在攻击之后将数据的泄露作为筹码。时间1987个人计算机普及2009年加密货币的兴起2016年Ra

3、aS模式出现2019年多重勒索4RaaS运营机制和商业模式5勒索软件即服务（Ransomware as a Service，RaaS）是一种网络犯罪商业运营模式。开发人员提供用于勒索攻击的基础设施，运营人员招募附属成员，使那些不具备专业技术知识的个体或团体能够轻松地执行勒索攻击行为。通俗来讲RaaS提供方是“品牌方”，通过招收“品牌代理”的方式扩展附属成员投放“品牌产品”，扩大其“品牌效应”，并以产品带来的收益进行抽成分红。引自：Google.Exposing initial access broker with ties to Conti R/OL.(2022-03-17)https:/bl

4、og.google/threat-analysis-group/exposing-initial-access-broker-ties-conti/引自：GROUp IB.Ransomware manager:Investigation into farnetwork,a threat actor linked to five strains of ransomwareR/OL.(2023-11-08)https:/www.group- down due to technical issues.R/OL.(2023-11-02 https:/ looking into hacking gang

5、s ransomware threatR/OL.(2023-10-29 https:/ 3.0 Ransomware Affiliates Exploit CVE 2023-4966 Citrix Bleed VulnerabilityR/OL.(2023-11-21)https:/www.cisa.gov/news-events/cybersecurity-advisories/aa23-325aLockbit勒索攻击组织和攻击情况概览 LockBit勒索组织基本情况11遭遇LockBit勒索攻击的典型事件清单时间受害单位影响2021年8月爱尔兰IT咨询公司埃森哲窃取约6 TiB数据，要求支

6、付5000万美元赎金2022年1月法国泰雷兹集团部分数据被公开；同年11月再次遭受勒索攻击，公开窃取到的约9.5 GiB数据2022年2月普利司通美洲分公司公司暂停部分工作运营，受害系统数据被窃2022年6月美国数字安全公司Entrust部分数据被窃取2022年7月法国电信运营商La Poste Mobile导致部分系统关停，官方网站关停10余天，部分用户信息被公开2022年10月巴西利亚银行部分数据被窃取，要求支付50 BTC赎金2022年11月德国大陆集团窃取约40 GiB数据，要求支付5000万美元赎金2022年12月美国加州财政部窃取约76 GiB数据2023年1月英国皇家邮政国际出口