Dispossessor 勒索软件是否会成为 LockBit 的接班者

于 2024-05-24 09:55:14 发布
阅读量269 收藏 7
点赞数 3
分类专栏: 安全 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FreeBuf_/article/details/139166380
版权

最近浮出水面的 Dispossessor 勒索软件,其与臭名昭著的 LockBit 勒索软件团伙存在许多相似之处。在全球执法机构联合打击了 LockBit 的攻击基础设施后,Dispossessor 带着与 LockBit 高度相似的结构与内容出现在众人眼前。

1716356951_664d875754f146409609c.png!small?1716356950451

Dispossessor 符号标记

Dispossessor

Dispossessor 名称可能是来源于 Ursula K. Le Guin 的小说《The Dispossessed》,该小说探讨了无政府主义、资源稀缺和社会动荡的特殊时期,呈现了没有个人财产的社会和资源丰富但充满了不平等的社会。这种说辞在勒索软件团伙中很常见,这些犯罪分子勒索和盗窃了数百万美元,但仍然认为自己处于道德制高点。

2024 年 2 月,Dispossessor 正式浮出水面,大胆地宣布可以公开下载此前已泄露的数据并进行潜在的出售。公告出现在多个地下论坛和地下市场上,包括 BreachForums 与 XSS。

1716356986_664d877a15d9166efb416.png!small?1716356985376

地下论坛公告

这一时间点让人不由得怀疑,在多国联合执法的 Cronos 行动后,LockBit 的运营和信誉受到重创。LockBit 在执法行动中损失了多个域名,控制面板和多个关键攻击基础设施都无法访问。Dispossessor 的网站与原来 LockBit 的网站极其类似,配色方案、页面布局和字体都几乎相同。这表明,要么是相同的运营团队改头换面切换了品牌,要么是模仿 LockBit 攻击基础设施的新勒索软件团伙。从内容上来看,LockBit 的很多受害者在第一天就被镜像到了 Dispossessor 的网站上,还保留了原来的发布日期和详细信息。

1716357002_664d878a7a79f63d4d770.png!small?1716357001758

数据披露网站

地下论坛的用户还提到了名为 Dispossessor 的新网站,也指出其与原始 LockBit 网站极其相似。

运营策略

与 LockBit 类似,Dispossessor 也采用勒索软件即服务(RaaS)模式。这种模式使勒索软件团伙通过附属机构分发勒索软件,去中心化使得执法部门很难能够彻底瓦解其业务。

但目前 Dispossessor 似乎并不具备勒索软件功能,更像是一个数据泄露代理。目前在野尚未观察到勒索软件样本,仍然主要发布其他勒索软件团伙的数据泄露,甚至包括已经不复存在或者已经被执法取缔的团伙。

如 @ransomfeednews 所指出的,研究人员普遍认为 Dispossessor 并不是新出现的勒索软件团伙,而是一群犯罪分子试图利用其他团伙的攻击行动来不劳而获进行获利。Dispossessor 主要依赖其他勒索软件团伙的附属机构,这些附属机构已经窃取了数据,但最新的受害者可能从 LockBit 或者其他勒索软件团伙中分离出来。攻击者也在地下论坛上积极寻找“攻击者”进行合作,分析人员认为情况可能会发生多样的变化。

1716357081_664d87d918b9c1f0c89b5.png!small?1716357083066

寻找合伙人

目前已经有 17 个页面和大约三百余个公司成为了受害者,但大多数都是 LockBit、Cl0p 与 Snatch 已经披露的受害者。攻击者在数据泄露网站宣布,Dispossessor 的合作计划非常包容,无论身处何方、所说何种语言、多大年龄以及宗教信仰如何。合作计划优先考虑具备攻击能力的、有凝聚力且经验丰富的团队,也提供了透明的方式使附属机构可以与受害者进行沟通。

Dispossessor 声称合作方可以使用一套工具包,能够最大限度地发挥攻击的影响,工具包内包括 Tor 网络中的管理面板、安全信道、自动解密工具和 StealBit 窃密工具。攻击者声称支持各种操作系统和架构,如 Windows、ESXi 与多个 Linux 发行版。

合作计划

Dispossessor 在数据泄露网站上介绍了其合作计划,附属机构使用 Dispossessor 提供的工具包并严格遵守合作准则。主要的规则包括:

  • 附属机构不得与他人共享控制面板的访问权限
  • 勒索赎金的沟通中达成的协议必须要履行
  • 必须从受害者处下载有价值的信息
  • 禁止攻击某些关键基础设施,如核电站与医疗机构,避免因攻击导致死亡

Dispossessor 对运营安全极度重视,甚至要求合作方必须存入一比特币作为赎金分成的预付款。分析人员推测,这一要求旨在淘汰掉缺乏安全感的新手、执法人员和竞争对手。

结论

紧随执法机构对 LockBit 的打击行动,Dispossessor 又成为了勒索软件领域的重要参与者,凸显了网络犯罪活动的动态性和适应性。攻击者的运营策略模仿勒索软件即服务(RaaS)模式,同时主要充当泄露数据经纪人,这为网络安全专家和执法机构带来了全新的挑战。典型的缓解措施如下所示:

  • 定期数据备份:如期执行备份策略,定期备份关键数据,确保发生勒索软件攻击时可恢复数据
  • 安全意识培训:对员工进行有关勒索软件威胁和网络安全最佳实践的教育,以降低成为受害者的风险
  • 完善补丁管理:让系统保持最新的安全补丁,以防御勒索软件经常利用的漏洞
  • 网络区域划分:对网络进行分片划分,将关键系统和数据与不安全区域分隔开,限制勒索软件感染的影响
  • 良好访问控制:限制用户权限以最大限度减少攻击面
  • 电子邮件安全:部署安全解决方案检测与阻止恶意软件和网络钓鱼
  • 端点安全防护:使用安全软件检测和缓解端点上的勒索软件威胁
  • 事件响应计划:指定针对勒索软件攻击的响应计划,包括事前识别、事中遏制与事后恢复
  • 定期安全审计:进行审计和漏洞评估,发现并修复攻击者可能利用的安全漏洞
  • 进行备份测试:定期测试备份数据完整性,防止未授权访问

参考来源

Socradar

FreeBuf-
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
博客
SSLyze:一款快速高效的SSLTLS扫描工具
06-21 762
1、专注于速度和稳定性:SSLyze经过了严格的测试,能够支持每天可靠地扫描数十万台服务器;2、易于操作:SSLyze可以直接从CI/CD运行,以便根据Mozilla推荐的TLS配置来对目标服务器执行安全检查;3、文档支持:提供了完整的Python API文档,可以直接从任何Python应用程序执行扫描任务,或直接以功能函数的形式部署到AWS Lambda;4、多类型服务器扫描:支持扫描非HTTP服务器,包括SMTP、XMPP、LDAP、POP、IMAP、RDP、Postgres和FTP服务器;
博客
RedTail 僵尸网络积极利用新漏洞发起攻击
06-21 541
RedTail 一直在更新进步,启用私有矿池进行隐蔽,这与 Lazarus 组织的策略类似。VulDB CTI 团队提到了针对 PAN-OS 漏洞(CVE-2024-3400)的在野攻击,可能与 2024 年 4 月 13 日 Lazarus 的攻击活动有关。
博客
r2frida:基于Frida的远程进程安全检测和通信工具
06-20 958
1、运行未修改的Frida脚本(使用:.命令);2、在任意进程中执行C、JavaScript或TypeScript代码段;3、支持在本地或远程系统连接、生成或启动进程;4、枚举内存区域富豪、导出、协议、类和方法;5、在代理内部或主机的内存中搜索值;6、使用短命令替换方法实现或创建钩子;7、在目标进程中加载库或框架;8、支持Dalvik、Java、ObjC、Swift和C接口;9、操作文件描述符和环境变量;10、向进程和断点发送信号;11、读/写进程内存;
博客
精华版 | 2024 Q1全球威胁报告一览
06-20 949
Q1最热门的安全事件是XZ/liblzma后门高危漏洞。开发人员Andres Freund一次偶然情况下,发现了XZ/liblzma存在后门并对该漏洞进行报告。XZ/liblzma是一个广泛使用的开源工具,掌握该后门攻击者几乎可以访问任何运行受感染发行版的 Linux 机器。这一事件提出了有关开源代码的安全性及其集成到关键系统和应用程序中的重要问题。社会工程学仍然是各平台上最大的威胁,而且所占的份额还在继续增加。在移动设备领域,2023年Q4季度所有威胁 90% 以上来自诈骗和类似威胁类型。
博客
Pentest Muse:一款专为网络安全人员设计的AI助手
06-19 1221
在代理模式下,Pentest Muse能够帮助我们完成一系列简单的任务,例如“帮我们在url为xxx的目标上执行SQL注入测试”。上注册后,我们就可以使用Pentest Muse来管理API了,创建一个账号,打开Pentest Muse的命令行接口,程序将会提示我们进行登录。在聊天模式中,我们可以直接与Pentest Muse聊天,并请它帮我们头脑风暴、编写Payload或对代码进行安全分析。简而言之,我们只需要把想做的事情告诉Pentest Muse,它就能够帮助我们完成想要的安全测试与评估任务。
博客
网安人必备!开源网络安全工具TOP 10(附下载地址)
06-19 711
通过内置的各种工具和连接器,Nemesis可以对原始数据进行深度处理,提取出更多的上下文信息,如IP地址的地理位置、域名的注册信息、用户行为的模式等。CloudGrappler是一款由Permiso团队打造的开源云安全工具,能够基于现代云威胁参与者的策略、技术和程序(TTP)(如LUCR-3)提供增强的检测功能,它利用高效的日志查询机制,通过命令行接口(CLI)与数据源进行交互,确保在各种环境下都能稳定运行,能够帮助安全管理团队更加轻松地应对云环境中的安全挑战。
博客
GTFOcli:一款基于二进制搜索命令的错误配置系统评估工具
06-18 1036
GTFOcli是一款功能强大的命令行接口工具,该工具提供了简化的二进制搜索命令,可以帮助广大安全研究人员检测包含错误配置的目标系统,并执行绕过测试以对其进行安全评估。由于该工具基于Go语言开发,因此在使用该工具之前,我们需要在本地设备上安装并配置好最新版本的Go语言环境。从stdin搜索tar二进制代码。本项目的开发与发布遵循。
博客
OneNote 作为恶意软件分发新渠道持续增长
06-18 882
目前,Office 文件已经默认禁用宏代码,攻击者开始转向利用其他微软的软件产品来进行恶意 Payload 投递。默认情况下,OneNote 应用也包含在 Office 2019 和 Microsoft 365 软件中,所以 OneNote 文件越来越受到攻击者的青睐。如果有人意外打开恶意 OneNote 文件,就会触发加载恶意 Payload。研究人员发现攻击者在 OneNote 中嵌入恶意脚本或二进制文件,与传统宏代码相比更加灵活。
博客
cloud_enum:一款针对不同平台云环境安全的OSINT工具
06-17 849
cloud_enum是一款功能强大的云环境安全OSINT工具,该工具支持AWS、Azure和Google Cloud三种不同的云环境,旨在帮助广大研究人员枚举目标云环境中的公共资源,并尝试寻找其中潜在的安全威胁。当前版本的cloud_enum支持枚举下列内容:dnspythonrequestsrequests_futures工具下载由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好最新版本的Python 3环境。接下来,广大研究人员可以直接使用下列命令将该项目源码
博客
ThinkPHP 的老漏洞仍然被攻击者钟情
06-17 773
尽管攻击者已经了解这些漏洞很久很久,但仍然在继续使用并且能够攻击成功。这凸显了组织在识别易受攻击资产和升级补丁管理上,持续面临巨大挑战。研究人员发现并非所有的受害者都使用了 ThinkPHP,攻击者可能不加区分进行了广泛的攻击。攻击者一方面对恶意脚本进行了混淆处理,另一方面也有很低级技术的表现,这二者十分割裂。当然,攻击技术先进并不代表着背后的攻击者也很熟练。
博客
如何使用NoMore403在网络安全评估中绕过HTTP 40X错误
06-14 766
如需修改或添加新的绕过策略,可以直接修改项目目录中payloads文件夹内的Payload,nomore403将自动应用并部署修改的策略。
博客
深度解析 | “透明部落(APT36)”持续攻击印度政府、国防部门
06-14 827
武器基于 Python 的 ELF 和 PE 格式文件窃取程序、混淆 shell 脚本、Poseidon 代理、Telegram RAT、Go-Stealer攻击载体鱼叉式网络钓鱼、恶意 ISO、ZIP 压缩包、恶意链接、ELF 下载器、使用 HTTrack 网站复制器窃取凭证网络基础设施网络服务:Telegram、Google Drive 和 Discord、Hostinger International Limited、Contabo GmbH、NameCheap, Inc。
博客
Dorkish:一款针对OSINT和网络侦查任务的Chrome扩展
06-13 1194
1、使用包含关键字的构建器过滤你的Google搜索结果;2、提供针对漏洞奖励计划提供预构建Dork;3、提供针对漏洞奖励计划的网络侦查阶段提供预构建Dork;4、提供针对公开文件和目录的预构建Dork;5、提供针对网络安全任务的预构建Dork;6、提供针对登录和注册门户的预构建Dork;
博客
生成式人工智能是DevSecOps的福音还是噩梦?
06-13 474
从长远来看,随着Gen-AI代码生成器的改进,它们确实有可能提高整体软件安全性。问题是,我们将到达一个危险的拐点,当Gen-AI引擎和模型达到能够持续生成相当不错的代码的程度时,开发团队将面临压力,因为有些人会认为“相当不错”就就足够了。而正是因为如此,漏洞才更有可能在未被发现和修复的情况下影响产品安全。这就是危险区域。只要开发人员和管理人员保持适当的怀疑和谨慎,那么Gen-AI就会成为一种有效工具。当谨慎程度下降时,就会变得危险。
博客
威胁预警 | Anatsa 银行木马被下载超过数万次
06-12 725
Anatsa 是已知的安卓银行木马,针对全球超过 650 各金融机构的应用程序进行窃密,主要受害者都在欧洲。原来主要针对美国和英国的银行应用程序,后续进一步将攻击目标扩大到德国、西班牙、芬兰、韩国与新加坡的银行应用程序。Anatsa 银行木马在安装时看起来人畜无害,但安装后应用程序会从 C&C 服务器下载恶意 Payload,以更新的名义进入受害者的手机。这种方式使得恶意软件可以绕过安全检测,堂而皇之地上传到 Google Play 供用户下载。
博客
SwaggerSpy:一款针对SwaggerHub的自动化OSINT安全工具
06-12 944
而SwaggerHub则是一个使用Swagger框架设计、构建和管理API的协作平台。它为API文档、版本控制和团队成员之间的协作提供了一个集中的存储库。SwaggerHub通过为API设计和测试提供统一的平台,简化了API开发生命周期。
博客
VirtFuzz:一款基于VirtIO的Linux内核模糊测试工具
06-11 831
VirtFuzz是一款功能强大的Linux内核模糊测试工具,该工具使用LibAFL构建,可以利用VirtIO向目标设备的内核子系统提供输入测试用例,广大研究人员可以使用该工具测试Linux内核的安全性。最后,VirtFuzz的正常工作还需要一个修补的内核,因此,我们可以拉取一个内核版本并应用我们的补丁。此时,模糊测试器会通过mac802.11_hwsim驱动程序对802.11栈运行两个测试实例。在开发过程中,我们还提供了一些选项来支持自定义模糊测试任务。1、virtfuzz-fuzz:模糊测试器。
博客
AI助力密码安全:利用机器学习提升密码安全性
06-11 591
密码安全是网络安全的基础,机器学习技术可以作为增强密码安全性的强大工具。通过创建能够执行密码分类的机器学习模型,可以帮助社区进一步提升对密码安全性的认知,并强调创建安全密码的重要性。
博客
swaggerHole:针对swaggerHub的公共API安全扫描工具
06-07 826
swaggerHole是一款针对swaggerHub的API安全扫描工具,该工具基于纯Python 3开发,可以帮助广大研究人员检索swaggerHub上公共API的相关敏感信息,整个任务过程均以自动化形式实现,且具备多线程特性和管道模式。-de, --deactivate_email:不激活email过滤功能(会增加假阳性);-q, --quiet:静默模式,移除Banner;-o OUT, --out OUT:设置输出目录;-h, --help:显示工具帮助信息和退出;本项目的开发与发布遵循。
博客
Windows取证分析 | 如何最大程度提升分析效率
06-07 804
内存取证是任何计算机取证分析人员的必备技能之一,这种技术允许我们找到很多无法在磁盘上找到的数字证据,例如:1、建立的网络链接;2、仅在内存中的恶意软件;3、加密密钥;4、用户凭证。从零开始处理内存映像可能会非常具有挑战性,因为这种处理方式要求分析人员对目标操作系统的内存布局和数据结构有深入的了解,但幸运的是,社区有一些工具可以为我们解析这些数据结构,并为我们提供所需的最终结果。这样一来,我们就可以将注意力放到最重要的部分,即我们实际想要看到的内容,以及如何通过内存取证分析达到我们的最终目标。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值