引 言
专门从事勒索软件的网络罪犯子并不总是自己制作勒索软件。他们有许多其他方式获取勒索软件样本:在暗网上购买样本、与其他组织合作或找到(泄露的)勒索软件变种。这并不需要付出特别的努力,因为勒索软件的源代码经常被泄露或公布。使用一套标准工具和一个新制作的(有时稍作修改的)勒索软件样本,就可以寻找受害者并传播恶意活动。
在过去几个月,我们发布了多份私人报告,详细说明了这一点。以下是这些报告中的几个摘录。要了解更多关于我们的犯罪软件报告服务,请联系:[email protected]。
SEXi
今年4月,IxMetro 遭受了一次攻击,这次攻击使用的是一种被称为“SEXi”的新型勒索软件变种。顾名思义,该组织主要针对 ESXi 应用程序。在我们调查的每个案例中,受害者运行的都是已经不受支持的 ESXi 版本,并且关于初始感染途径有多种假设。
该威胁组织会根据目标平台的不同,部署两种勒索软件变种中的一种:分别为Windows 或 Linux。这两种样本都基于泄露的勒索软件样本,即 Linux 版的 Babuk 和 Windows 版的 Lockbit。这是我们首次看到一个威胁组织针对不同目标平台使用不同的泄露勒索软件变种。
让该威胁组织与其他组织区分开来的另一个特点是他们所使用的联系方式。攻击者通常会留下一张带有电子邮件地址或泄露网站 URL 的便条,但是在本案例中,便条包含与 Session 消息应用程序关联的用户 ID。该 ID 属于攻击者,并在不同的勒索软件攻击和受害者中使用。这表明其缺乏专业性,也表明攻击者没有 TOR 泄密网站。
Key威胁组织
虽然 SEXi 组织使用了来自两个恶意软件家族的泄露勒索软件变种,但其他组织已经将这种方法提升到了一个全新的水平。例如,Key 威胁组织(又名 keygroup777)在其相对较短的历史中(自 2022 年 4 月起)使用了不少于 8 个不同的勒索软件家族——见下图。
Key威胁组织使用泄露的勒索软件生成器
我们可以通过不同变种的赎金便条将其与 Key 组织联系起来。在该组织活跃的两年多时间里,他们对每个新勒索软件变种的技术、策略和流程( TTP) 稍作了调整。例如,持久化机制总是通过注册表实现,但具体实现因家族而异。大多数情况下,使用了自动运行,但我们也看到他们使用了自启动文件夹。
例如,UX-Cryptor会将自己添加到注册表中,如下图所示。
虽然 Chaos 勒索软件变种将自己复制到$user$appdatacmd.exe并启动了一个新进程,但新进程反过来在自启动文件夹中创建了一个新文件:$user$appdataMicrosoftWindowsStart MenuProgramsStartupcmd.url。这包含指向勒索软件文件的路径:URL=file:///$user$appdatacmd.exe.
说俄语的威胁组织通常在俄罗斯境外开展业务,但 Key 组织是个例外。与 SEXi 一样,他们的行动也不是很专业,显示出缺乏全面技能。例如,主要的 C2 渠道是一个 GitHub 仓库,这使得他们更容易被追踪,而且通过 Telegram 而不是 TOR 网络上的专用服务器进行通信。
Mallox
Mallox 是另一个相对较新的勒索软件变种,于 2021 年首次曝光,并在 2022 年启动了一个附属计划。勒索软件作者获取源代码的方式尚不清楚——他们可能是从头开始编写的,使用了已发布的或泄露的源代码,或者像他们声称的那样购买了源代码。与 Lockbit 和 Conti 等勒索软件相比,Mallox 的知名度较低,因此记录也较少,因此我们决定在这篇文章中介绍 Mallox。
尽管Mallox最初作为一个私密组织开展自己的活动,但在其成立后不久就启动了一个附属计划。有趣的是,该组织只愿意与讲俄语的附属机构合作,而不愿意与讲英语的机构合作,他们也不欢迎新手。他们还非常明确地指出了附属机构应该感染的组织类型:年收入不低于 1000 万美元,不包括医院和教育机构。
Mallox 使用联盟 ID,因此可以跟踪联盟在一段时间内的活动。该组织在2023 年有 16 个活跃合作伙伴,这解释了其活动激增的原因,尤其是在 2023 年春季和秋季,PE 时间戳证明了这一点。
按 PE 时间戳统计的 Mallox 样本数量
2024 年,只有最初的八个附属机构仍然活跃,没有新成员加入。此外,Mallox还拥有其他组织也有的所有典型的大型狩猎属性,例如泄露网站、托管在 TOR 上的服务器等。
结 论
进入勒索软件行业从来都不是一件难事。人们可以使用现成的解决方案,也可以成为联盟成员,将许多任务外包给他人。最初,像“Hidden Tear”这样的工具所造成的影响相对较小:这些工具很容易被发现,而且包含执行错误,有助于解密。它们针对的是普通消费者,而不是大型组织。如今,这种情况已经改变,随着“大型猎物”时代的到来以及“专业”勒索软件变种的发布,其影响可能更大,可以影响整个公司、组织、医院等等。这类样本在速度、可配置性、命令行选项、平台支持和其他功能方面更有效率。尽管如此,虽然获取 "专业 "勒索软件变种可能很容易,但对于新手来说,利用和探索一个组织的整个过程可能相当耗时,甚至不切实际。
我们还发现,使用泄露变种的威胁组织很少有看起来专业的,Key 组织和 SEXi 就是其中的例子。他们的攻击之所以有效,要么是因为他们能够建立一个成功的附属计划(Key 组织),要么是因为他们找到了一个可以有效部署勒索软件的利基市场(SEXi)。在这两种情况下,勒索软件变种的泄露或发布可以被视为对组织和个人的威胁。
如果您想了解网络罪犯使用的最新 TTP,或者对我们的私人报告有任何疑问,请通过 [email protected] 与我们联系。
感染迹象
SEXi
4e39dcfb9913e475f04927e71f38733a
0a16620d09470573eeca244aa852bf70
Key
bc9b44d8e5eb1543a26c16c2d45f8ab7
acea7e35f8878aea046a7eb35d0b8330
Mallox
00dbdf13a6aa5b018c565f4d9dec3108
01d8365e026ac0c2b3b64be8da5798f2
原文始发于微信公众号(卡巴斯基网络安全大百科):“专业”勒索软件变种如何提升网络犯罪组织的能力
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论