窃取你的数据的勒索软件团伙并不总是删除它

勒索软件团伙窃取一家公司的数据，然后支付赎金来删除它，他们并不总是兑现自己的承诺。

根据Coveware本周发布的一份报告，以及过去几个月安全研究人员与ZDNet研究人员分享的几起事件，发生此类事件的案例数量有所增加。

这些事件只发生在特定类别的勒索软件攻击上--即由大型猎人或人工操作的勒索软件团伙实施的勒索软件攻击。

这两个术语指的是勒索软件团伙专门针对企业或政府网络的事件，他们知道一旦被感染，这些受害者无法承受长时间的停机时间，很可能会同意支付巨额赔偿。

但自2019年秋季以来，越来越多的勒索软件团伙开始从被黑客攻击的组织中窃取大量文件，然后再对受害者的文件进行加密。

这一想法是为了威胁受害者，如果该公司想要从备份中恢复其网络，而不是支付解密密钥来恢复其文件，就会威胁受害者在网上发布其敏感文件。

一些勒索软件团伙甚至创建了专门的门户网站，称为泄密网站，他们会在那里发布那些不愿付费的公司的数据。

如果被黑客攻击的公司同意为解密密钥付费，勒索软件团伙还承诺删除他们窃取的数据。

在本周发布的一份报告中，为被黑客攻击的公司提供事件响应服务的Coveware表示，它在2020年第三季度调查的勒索软件事件中，有一半涉及文件加密前公司数据被盗，是上一季度数据被盗之前勒索软件事件数量的两倍。

但Coveware表示，这类攻击已经达到了临界点，而且越来越多的勒索软件团伙没有信守承诺的事件被报道。

例如，Coveware表示，它看到使用Revil(Sodinokibi)勒索软件的团体在受害者支付赎金要求几周后接近受害者，并要求第二笔赎金，他们使用新的威胁来公开受害者几周前认为被删除的相同数据。

Coveware表示，它还看到Netwalker(Mailto)和Mespinoza(Pysa)团伙在他们的泄密网站上发布被盗数据，即使受害公司已经支付了赎金要求。安全研究人员告诉ZDNet，这些事件很可能是勒索软件团伙平台的技术错误造成的，但这仍然意味着勒索软件团伙没有像他们承诺的那样删除数据。

此外，Coveware还表示，它观察到Conti勒索软件团伙向受害者发送伪造的证据，作为删除数据的证据。这类证据通常是受害者的法律团队要求的，但提交伪造的证据意味着勒索软件团伙从未打算删除数据，很可能是打算在以后重新使用这些数据。

最重要的是，Coveware表示，他们还看到迷宫勒索软件团伙在他们的泄密网站上意外地发布了被盗的数据，甚至在他们通知受害者他们的文件被盗之前。

Coveware说，Sekhmet和Egregor帮派也发生了这种情况，这两个帮派都被认为是从最初的迷宫行动中剥离出来的。

除此之外，ZDNet还从其他为勒索软件攻击提供事件响应服务的公司了解到了其他事件。

这些事件大多涉及勒索软件泄密网站的先驱迷宫团伙和双重敲诈勒索计划。更确切地说，它们涉及分支机构，这个术语描述了购买迷宫勒索软件即服务(RAAS)平台的网络罪犯，并使用迷宫勒索软件加密文件。

但是，虽然一些分支机构遵守规则，但一些分支机构却是避风港。有一些案例表明，一名前Maze分支机构被赶出了Maze Raas项目，他曾接近并试图第二次用同样被盗的数据敲诈前受害者，他们承诺删除这些数据。

也曾发生过迷宫附属公司意外在迷宫泄密网站上发布被盗数据的情况，即使在成功支付赎金之后也是如此。这些数据最终被删除了，但并不是在迷宫网站上的帖子获得了成百上千的阅读量(以及潜在的下载量)之后。

随着杀毒公司开始检测迷宫的有效载荷，阻止加密和阻止攻击，迷宫子公司的情况在这一年里变得更糟。

在许多这样的案例中，迷宫的附属公司不得不满足于只使用他们在加密被阻止之前设法窃取的数据，而且往往不得不满足于支付较小的赎金。

为了寻找新的盈利渠道，在至少两起案件中，迷宫集团试图将员工证书和个人数据出售给伪装成地下数据经纪人的安全研究人员。

这些例子证实了许多安全研究人员已经怀疑的事情--即勒索软件团伙不能被信任或信守诺言。

Coveware在其报告中写道，与协商解密密钥不同，为隐藏被盗数据而进行的协商没有有限的终点。受害者一旦收到解密密钥，就不能带走，也不会随着时间的推移而退化。有了被盗的数据，威胁行为者可以在未来的任何时候回来要求第二次付款。

这家安全公司现在建议，公司永远不要考虑删除他们的任何数据，并做出相应的计划，这通常涉及通知所有受影响的用户和员工。

之所以需要给出这个建议，是因为一些公司一直在以他们已经支付了赎金要求为借口，并以勒索软件团伙做出了删除数据的狡猾承诺为借口，不通知他们的用户和员工。

由于许多在勒索软件攻击中被盗的文件包含敏感的个人和财务细节，如果转售，这些文件对于受害者公司的客户或员工需要意识到并做好准备的一系列欺诈操作非常有用。