关键词
勒索软件、趋势、跨平台、勒索软件工业化、地缘政治
对勒索软件的观察和评估可以提供打击网络犯罪的威胁情报,还可以帮助我们推断出未来几个月可能的趋势,以便更针对性的进行防范。据卡巴斯基团队总结,2022年勒索软件的活跃程度不亚于以往:网络犯罪分子持续活跃并对零售商和企业产生威胁,旧恶意软件变种卷土重来,而新恶意软件在不断进化。
在此报告中,该团队分析了2021年底和2022年发生在技术和地缘政治层面的事件,并对导致新勒索软件趋势原因进行分析。主要包含三个层面:日益普遍的跨平台勒索软件趋势;勒索软件团队如何采用良性软件公司的技术继续产业化并发展成为真正的企业;勒索软件团伙在俄罗斯和乌克兰的冲突中扮演的角色及作用。
(1)Conti 跨平台功能
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
(2)BlackCat的跨平台功能
(3)Deadbolt的跨平台功能
|
#!/bin/sh echo"Content-Type: text/html" echo"" get_value(){ echo"$1"|awk-F"${2}="'{ print $2 }'|awk-F'&''{ print $1 }' } not_running(){echo'{"status":"not_running"}';exit;} PID_FILENAME=/tmp/deadbolt.pid STATUS_FILENAME=/tmp/deadbolt.status FINISH_FILENAME=/tmp/deadbolt.finish TOOL=/mnt/HDA_ROOT/722 CRYPTDIR=/share if["$REQUEST_METHOD"="POST"];then DATA=`dd count=$CONTENT_LENGTH bs=12> /dev/null`'&' ACTION=$(get_value"$DATA""action") if["$ACTION"="decrypt"];then KEY=$(get_value"$DATA""key") if["${#KEY}"!=32];then echo"invalid key len" exit fi K=/tmp/k-$RANDOM echo-n > $K foriin`seq0230`;do printf"x"${KEY:$i:2} >> $K done
SUM=$(sha256sum$K|awk'{ print $1 }') rm$K if["$SUM"="915767a56cb58349b1e34c765b82be6b117db7e784c3efb801f327ff00355d15"];then echo"correct key" exec >&- exec 2>&- ${TOOL} -d "$KEY" "$CRYPTDIR" elif [ "$SUM" = "93f21756aeeb5a9547cc62dea8d58581b0da4f23286f14d10559e6f89b078052" ];then echo"correct master key" exec >&- exec 2>&- ${TOOL} -d "$KEY" "$CRYPTDIR" else echo "wrong key." fi elif [ "$ACTION" = "status" ];then if[-f"$FINISH_FILENAME"];then echo'{"status":"finished"}' exit fi if[-f"$PID_FILENAME"];then PID=$(cat"$PID_FILENAME") if["$PID"=""];then not_running fi if[!-d"/proc/$PID"];then not_running fi fi if[-f"$STATUS_FILENAME"];then COUNT=$(cat"$STATUS_FILENAME") echo'{"status":"running","count":"'${COUNT}'"}' else not_running fi else echo"invalid action" fi else echo |
(1)Lockbit 的演变,自 2019 年以来最成功的 RaaS 之一
(2)StealBIT:Lockbit 勒索软件使用的自定义数据泄露工具
-
公开可用的工具并不总是以其速度而闻名。对于勒索软件运营商来说,速度很重要,因为泄露数据所需的时间越长,勒索软件运营商被抓获的可能性就越大 -
灵活性是另一个原因。标准工具的设计并未考虑勒索软件运营商的要求。例如,使用大多数工具,仅能将数据上传到一台主机。如果该主机已关闭,则必须手动指定另一台主机。犯罪基础设施总是有可能被拆除或落入 LEA 手中。为了提供更大的灵活性并克服这些限制,StealBIT 有一个硬编码主机列表。如果第一个主机由于某种原因关闭,则尝试第二个主机。 -
勒索软件运营商的要求是公开可用的工具无法满足的。其中一项要求是不泄露所有数据,而只泄露有利益的数据。在 StealBIT 中,这是通过硬编码应提取的文件列表来实现的。另一个功能是在上传数据时发送附加ID。
(3)SoftShade 部署 Fendr 渗透客户端
(1)Conti勒索软件团伙有意偏袒
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
(2)Freeud:具有擦除功能的全新勒索软件
(3)Elections GoRansom (HermeticRansom) 掩盖破坏性活动
-
它会创建数百个自身的副本并运行它们。 -
函数命名方案参考美国总统选举。 -
没有混淆,它具有非常简单的功能。
(4)Stormous勒索软件通过 PHP 恶意软件加入乌克兰危机
(5)针对乌克兰的DoubleZeroc擦除器
编辑|商上
审校|何双泽、金矢
本文为CNTIC编译整理,不代表本公众号观点,转载请保留出处与链接。联系信息进入公众号后点击“关于我们”可见。
原文始发于微信公众号(国家网络威胁情报共享开放平台):2022勒索软件新趋势
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论