01
勒索态势日趋复杂
勒索软件攻击已经成为全球网络空间安全面临的重大威胁和挑战。
相较于2022年,2023年的勒索威胁态势逐渐复杂,新型勒索软件家族和攻击事件频发。
仅2023年上半年,全球披露的勒索攻击事件达2000多次,同比去年有较大增长。其中LockBit、Clop和BlackCat是今年迄今为止最为多产和活跃的勒索家族,受害者众多。
例如,2023年6月,LockBit入侵了某全球知名芯片公司的IT硬件供应商之一,并从中窃取了公司信息。随后,LockBit向该公司索要高达7千万美元的赎金,否则公开被盗数据。
Clop勒索组织在上半年利用多个0day漏洞,攻击了数百个组织,窃取并售卖包括美国能源部等在内的多家大型组织和机构的数据,名噪一时。
除了在攻击声势上愈发猖獗,勒索软件生态在攻防博弈中也不断地发展、创新和融合。
一方面,勒索组织将目标扩大到包括Linux、VMwareESXi、MacOS等在内的多个架构平台。2023年出现了不少针对Linux/VMwareESXi的勒索家族及其变体,例如ESXiArgs,Akira、Cyclops等,其中Cyclops拥有针对包括Windows,Linux和MacOS系统在内三种主流操作系统的勒索软件开发能力。
另一方面,随着勒索生态不断丰富和相关网络犯罪的盛行,一些勒索组织所使用的工具甚至源代码逐渐被公开和流转。尤其近2年来包括Conti、Babuk和LockBit等知名勒索组织泄露的源码和构建器,使得勒索开发门槛进一步降低。
基于此类源码和构建器产生的新型勒索组织层出不穷,使得判定勒索组织/家族更为复杂,勒索家族之间越来越难以有清晰的界限。
以下我们将分析2023年观察到的部分新勒索家族样本,从中探寻勒索生态的演变趋势。
02
潘多拉魔盒的开启:Babuk勒索泄露
2021年9月,Babuk小组的一名成员在某个俄语黑客论坛上声称自己患有晚期癌症,并发布了Babuk勒索软件的完整源代码。
Babuk Locker又称Babyk,是2021年1月开始运营的勒索软件。泄露的信息涵盖创建功能性勒索软件可执行文件所需的所有内容,包含适用于Windows、Linux/VMware ESXi和NAS加密器在内的三个Visual Studio项目。
经此事件后,陆续有发现基于Babuk的源码所构建的新型勒索家族,尤其是针对Linux/VMwareESXi的勒索家族样本。
2023年3月,猎影实验室发现一种自称CylanceRansomware的新型勒索家族。该勒索可以快速加密文件并添加扩展名.Cylance,在目录下放置勒索信文件CYLANCE_README.txt。
CylanceRansomware其拥有Windows和Linux两种变体,经分析Linux变体是复用Babuk的源代码改造开发而来。
对比Babuk的Linux/VMware ESX源码,例如在文件遍历的函数部分,其结构一致,函数名相同,替换了勒索信名称和需要比较的扩展名
2023年9月,Ragnar Locker的Linux变体样本被披露,发现其同样是基于Babuk代码构建,伪代码比较如下图所示。
Babuk的源码泄露,给勒索软件犯罪团伙们提供了极大地帮助,尤其那些尚未成熟的勒索团伙,通过Babuk的源码可以进一步完善和丰富勒索软件的功能开发,催生出大量此前未出现的新型勒索家族。
03
被滥用的犯罪工具:LockBit构建器
LockBit毫无疑问是勒索软件发展史上具有里程碑式的勒索组织,也是目前的勒索生态中顶级的RaaS勒索集团。
LockBit,曾用名为ABCD勒索软件,自2020年1月以来,使用LockBit的附属公司攻击了一系列关键基础设施领域的不同规模的组织。
该勒索历年来经过多次变体,尤其2022年6月发布的LockBit3.0版本的加密器,使用包括参数密码、随机加密可执行文件等多种保护技术避免被检测和分析,此外该组织还引入漏洞赏金计划邀请安全研究人员提交漏洞报告。
2022年9月,两个不同版本的LockBit构建器被公布,其拥有用于构建所有文件的批处理文件、可自定义的配置文件、密钥生成程序等,能够生成各种DLL和EXE格式的加密器和解密器。
在泄露事件发生后不久,安全研究人员发现勒索组织Bl00dy使用该构建器开发了属于自己的勒索程序,其拥有自身独特的勒索信风格和联系渠道。
在2023年,使用LockBit构建器的勒索团伙逐渐增多,对于小型勒索组织,技术能力较低的并不会对构建器进行大规模改造,加密图标、甚至背景桌面都可能沿用原有的LockBit风格。
而对于一些富有创新和技术能力的勒索组织,则会进行一定程度的定制化开发,包括加密图标、桌面背景、勒索信等,甚至还拥有自己的暗网联系渠道。
猎影实验室近期发现多个基于LockBit构建器的新型勒索家族,例如SOLEENYARansomware,该勒索对构建器进行了自定义的改造,有着不同于LockBit勒索的勒索信内容和暗网联系渠道。
下图为安恒云沙箱勒索场景化分析的家族信息,从勒索信中自称为SOLEENYARansomware,以及拥有自定义的Tor网站可以表明其背后勒索组织的独立性。
将SOLEENYA与LockBit3.0以往样本进行分析比较,可以看出勒索信格式都为“后缀名.README.txt”,其次两者在代码结构上类似,例如在API的获取方法上基本一致。
与此类似的还有Blackout勒索家族样本,勒索信同样具有独特的风格。
这类基于LockBit构建器所开发的勒索样本,编译时间都为2022-09-13 23:30:57 UTC,而且在VT中的文件名往往含有“LB3”字样,这与构建器生成的文件名类似。
LockBit构建器的泄露,一方面使得一些低技术、小成本的犯罪团伙可以快速开发出自己的勒索程序,灵活配置形成自定义的风格。另一方面,具有较强创新能力的中大型勒索组织同样可以利用构建器增强自身,进一步提高逃避检测和抗分析能力。
04
难以分辨的混沌:Chaos构建器
2021年,安全研究人员发现一款名为Chaos的勒索软件构建器在地下论坛中分发出售,一开始的V1版本不具备解密能力,更类似于破坏性的数据擦除器。随着版本的迭代,目前的Chaos具有了一般勒索的加解密能力,并且实现了在内网中扩散,更改桌面背景等功能。
Chaos勒索是在.NET平台上开发的一款勒索软件,运行后会检查是否是管理员权限,并且将程序复制在用户目录下,名称更改为“svchost.exe”此类伪装成正常的进程。
在加密前执行删除卷影副本、删除备份、禁止自启动修复的命令操作。
Chaos勒索加密后缀为随机的4个字符,采用AES/RSA的加密组合。
勒索信名称一般为read_it,勒索信内容如下:
在2023年,我们发现了一系列由Chaos勒索构建器生成的勒索样本,它们往往只更改了一些数据信息,例如壁纸图片、勒索信内容以及联系渠道、比特币地址等,而在代码和功能上与原有的Chaos勒索保持了一致。
Apocalipse勒索:
NIGHTCROW勒索:
此类勒索一般使用比特币作为赎金支付的手段,往往没有像中大型勒索组织那样建立tor博客和数据泄露网站,而是通过匿名服务进行联系,例如匿名邮箱、TG和TOX等。
05
思考总结
无论是泄露的源码/构建器还是在黑市出售的定制化勒索开发工具,都在助长勒索软件攻击嚣张气焰。
猎影实验室专家表示在全球经济形势低迷和政治局势动荡的背景下,可能会出现更多网络犯罪组织和集团,尤其受到巨大利润的吸引,勒索软件攻击可能会持续增加。
对于勒索组织而言,现成的源码和构建器能够节省大量的开发成本和精力,使得他们更专注于如何隐蔽地进行攻击和窃密,并且扩大影响,达到掠取赎金的目的。
源码和构建器的滥用也给勒索攻击的检测和防御带来挑战。勒索家族的界定逐渐变得模糊,一种新的勒索样本很可能参考和沿用了多个勒索家族的代码和功能,这增加了对此类攻击的准确识别和及时防范的难度。
因此,必须改进和加强勒索软件攻击的监测技术和防御机制,加强信息共享与合作,提高对勒索软件攻击的理解和研究,及时更新防御工具和策略,以确保网络安全并保护用户的数据免受勒索软件攻击的威胁。
“
防范建议
1. 及时备份重要数据。
2. 不随意打开来源不明的程序。
3. 不访问未知安全性的网站等。
4. 使用合格的安全产品
5. 定期检查系统日志中是否有可疑事件
6. 重要资料的共享文件夹应设置访问权限控制,并进行定期离线备份, 关闭不必要的文件共享功能
7. 不要轻信不明邮件,提高安全意识
目前安全数据部已具备相关威胁检测能力,对应产品已完成IoC情报的集成。
安恒信息产品已集成能力:
针对该事件中的最新IoC情报,以下产品的版本可自动完成更新,若无法自动更新则请联系技术人员手动更新:
1. AiLPHA分析平台V5.0.0及以上版本
2. AiNTA设备V1.2.2及以上版本
3. AXDR平台V2.0.3及以上版本
4. APT设备V2.0.67及以上版本
5. EDR产品V2.0.17及以上版本
安恒信息再次提醒广大用户,请谨慎对待互联网中来历不明的文件,如有需要,请上传至安恒云沙箱https://sandbox.dbappsecurity.com.cn,进行后续判断。
安恒云沙箱反馈与合作请联系:[email protected]
参考文献
1. https://www.sentinelone.com/labs/hypervisor-ransomware-multiple-threat-actor-groups-hop-on-leaked-babuk-code-to-build-esxi-lockers/
2. https://www.trendmicro.com/vinfo/us/security/news/ransomware-by-the-numbers/lockbit-blackcat-and-clop-prevail-as-top-raas-groups-for-1h-2023
3. https://www.trendmicro.com/en_us/research/21/h/chaos-ransomware-a-dangerous-proof-of-concept.html
将“安恒信息”微信公众号设为星标
关注信息不走丢哦!
往期精彩回顾
以管促用,看安恒信息如何助力商用密码应用建设
2023-11-21
范渊荣获“2023中国上市公司口碑榜社会责任先锋人物奖”
2023-11-20
中国品牌500强!安恒信息再获荣誉
2023-11-19
原文始发于微信公众号(安恒信息):2023勒索趋势之模糊的家族界限
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论