2021年上半年在獨聯體區域內最為活躍的勒索軟件介紹
如今,當談到網絡威脅時,大多數人都會想到勒索軟件,尤其是加密類型的惡意軟件。隨著新冠疫情的爆發和幾個主要網絡犯罪集團(Maze、REvil、Conti、DarkSide、Avaddon)的出現,一個完整的犯罪生態系統已經形成.上半年,在發生了一系列備受矚目的勒索軟件事件后,例如對 Colonial Pipeline(美國最大的燃料管道商)、JBS 和 Kaseya 的攻擊,目前的大多數攻擊組織都傾向于在獨聯體之外活動,盡管如此,該地區還是存在著大量惡意組織。
本文重點介紹了 2021 年上半年在獨聯體區域內最為活躍的勒索軟件木馬家族及其技術特征。
2021年1月至7月,遭遇勒索軟件攻擊的企業數量
2021 年 1 月至7月,遭遇勒索軟件攻擊的占比
BigBobRoss
該勒索軟件在2018年底開始活躍,目前仍在使用,它的主要傳播載體是破解RDP密碼。
當啟動BigBobRoss時,會顯示操作員的技術信息,包括用于后續文件解密的密鑰。惡意軟件還通過Telegram發送帶有此信息的消息。
在每個文件的開頭添加攻擊者的電子郵件地址和受害者ID,然后是原始名稱和擴展名,最后是勒索軟件添加的擴展名。
此外,每個文件夾中都會添加一個帶有攻擊者詳細信息的注釋。
該程序使用來自 CryptoPP 密碼庫的 ECB 模式(簡單替換模式)下的 128 位密鑰的 AES 對稱算法。
PDB 保留有關項目名稱的信息,幕后的開發者可能會說俄語,但這個只是猜測。
Crysis
Crysis是用 C/C++ 編寫的,并在 MS Visual Studio 中編譯。該惡意軟件在 CBC 模式下使用 AES-256 算法加密文件。啟動后,木馬會生成一個 256 位 AES 密鑰,該密鑰使用 RSA-1024 算法加密,攻擊者的公鑰包含在木馬之中。
每個文件都使用上述 AES 密鑰以及新生成的 128 位初始化向量(IV)進行加密。除了加密內容外,加密文件還存儲了IV、RSA加密的AES密鑰和輔助信息,包括攻擊者的標簽(一個字符串值)、使用的RSA公鑰的SHA1哈希、原始文件名、加密類型(要加密的文件部分對于小文件和大文件的選擇不同)和校驗和。
Phobos
與大多數現代勒索軟件一樣,Phobos 是通過 RaaS 附屬程序傳播的。感染的主要載體是未經授權的 RDP 訪問。
Cryak
Cryakl 已被多次重寫,并且每個新版本都會引入一些新功能。
它通過附屬計劃傳播。目前,其最常見的攻擊載體是通過 RDP。為方便攻擊者,木馬支持圖形界面。操作員在程序窗口中手動配置必要的設置。
當前版本的 Cryakl 的一個有趣功能是對歸檔格式的高級處理,這在其他勒索軟件中是沒有的。
分析 ZIP 格式的部分程序
CryptConsole
CryptConsole仍然運行活躍。它是用 C# 編寫的,并使用 .NET 庫進行加密,傳播的主要載體是破解 RDP 密碼。
對于加密,生成兩個密鑰和 IV 對,這些信息被寫入一個文本文件,這個文本文件的名稱是一個40個字符的字符串,與用戶的唯一標識符(注釋中的個人 ID)相匹配。假設惡意軟件操開發者通過 RDP 獲得訪問權限,運行勒索軟件并為自己保存此文件,然后將其從受害者的設備中刪除。
如上所述,勒索軟件會生成兩個隨機對:key+IV 和 key2+IV2。然后將文件大小與之前生成的隨機大小值進行比較。
Fonix
最新版本的 Fonix 模仿Crysis和 Phobos 木馬,對加密文件使用相同的擴展名和命名方案。
Fonix 使用 CryptoPP 庫以 C++ 編寫,并在 MS Visual Studio 中被編譯為一個 64 位可執行文件。它使用 RaaS 方案進行傳播,主要通過帶有惡意附件的垃圾郵件進入受害者系統。
每次攻擊得手后,勒索軟件都會通過 Telegram 向其運營商發送通知。
Limbozar
Limozar 是用 C++ 編寫的,在 MS Visual Studio 中編譯,并使用 CryptoPP 庫來實現加密功能。現有版本的Limbozar生成一個RSA-2048會話密鑰對,然后是一個256位密鑰和一個96位初始化向量,用于在GCM模式下的AES算法。在這個準備階段之后,Limbozar 搜索受害者的文件并使用 AES-GCM 算法對其進行加密,并為每個文件生成一個唯一的key+IV 對,然后使用 RSA 會話公鑰進行加密。加密后,惡意軟件將攻擊者的要求保存在 Decrypt-info.txt 文件中。
完全加密后,Limbosar 還會使用 POST 請求向其 C&C 服務器發送有關新受害者的通知。為了實現網絡通信,使用了 SFML 庫。
Thanos
這個勒索軟件是用c#編寫的。根據我們掌握的信息,它的主要傳播載體是破解 RDP 密碼。
由于傳播模型是 RaaS,勒索軟件是通過構建器傳播的。構建器中有許多不同的設置:基本的(加密文件的擴展名、勒索信的名稱和內容、付款地址)和更高級的(代碼混淆、自我刪除、禁用 Windows Defender、繞過反惡意軟件掃描接口(AMSI)) 、解鎖被其他進程占用的文件、保護勒索軟件進程、防止休眠、執行延遲、大文件快速加密模式、設置要加密文件的擴展名、選擇受害者通知方法)。泄露的構造函數可以在網上找到。
XMRLocker
它是用 C# 編寫的,并使用 .NET 庫進行加密。使用生成的隨機長度為65-101個字符的密碼執行加密,一個固定的字母表,包括英文大小寫字母和一些特殊字符,用于生成密碼。
加密使用AES算法,密鑰長度為256位,在CFB模式下使用PKCS7填充。預生成的密碼通過PBKDF2函數傳遞,迭代次數為50000次,并將結果轉換為密鑰和IV進行進一步加密。PBKDF2使用一個32字節的隨機鹽值,它被寫入每個文件的開頭。為所有文件生成一個密鑰。它被保存在一個名為HWID的文本文件中,該文件被發送到托管在Tor網絡上的C&C服務器,然后刪除。
加密后,設備關閉。下次啟動時,用戶會看到對發生的事情和攻擊者詳細信息的介紹。
