新的“BianLian”勒索軟件變種正在興起

網絡犯罪分子正蜂擁部署一種名為BianLian的新興勒索軟件變種，該變種是用Google創建的開源編程語言Go編寫的。Cyble Research Labs的研究人員稱，自7月中旬首次發布以來，BianLian的受歡迎程度一直在上升，該實驗室上周在一篇博客文章中公布了他們對勒索軟件研究的詳細信息。迄今為止，威脅行為者已經用新穎的BianLian惡意軟件撒下了大網，該惡意軟件對媒體和娛樂領域的組織進行了攻擊。受害者包括銀行、金融服務和保險（BFSI）、 制造業、教育、 衛生保健等行業。

根據Cyble的數據，具體而言，媒體和娛樂行業首當其沖受到BianLian攻擊，到目前為止，該行業有25%的受害者，專業服務、制造、醫療保健、能源和公用事業以及教育行業各有12.5%的受害者。

研究人員表示，使用BianLian的攻擊者通常會要求異常高昂的贖金，他們利用獨特的加密方式將文件內容分成10個字節的塊，以逃避防病毒產品的檢測。“首先，它從原始文件中讀取10個字節，然后對字節進行加密，并將加密后的數據寫入目標文件，”Cybel 研究人員在帖子中寫道。

BianLian的運營者還使用雙重勒索方法，威脅在10天內未滿足贖金要求時，會在網上泄露關鍵被盜數據，例如財務、客戶、業務、技術和個人文件。為此，他們維護了一個洋蔥路由泄漏點。

受害者機器成功感染后的BianLian勒索軟件加密文件和勒索信文本文件。

贖金記錄還包含用于贖金談判的 TOX Messenger 的 ID 和泄漏站點頁面的 Onion URL。

BianLian的功能類似于其他勒索軟件類型，一旦它感染了目標系統，它就會對文件進行加密，并向受害者發送勒索軟件說明，讓他們知道如何聯系運營商。

研究人員表示，在執行勒索軟件后，BianLian會嘗試通過GetProcAddress() API檢查wine_get_version()函數來識別文件是否在WINE環境中運行。然后，勒索軟件使用CreateThread() API 函數創建多個線程來執行更快的文件加密，這也使得對惡意軟件進行逆向工程更加困難，他們說。

研究人員表示，該惡意軟件然后使用GetDriveTypeW() API 函數識別系統驅動器（從 A:\ 到 Z:\），并在刪除其勒索軟件注釋之前加密連接驅動器中的任何可用文件。

研究人員表示，BianLian還值得注意的是，它使用Go作為其基礎語言，為攻擊者在開發和部署惡意軟件方面提供了更大的靈活性。“我們已經看到許多使用Go語言開發的威脅，例如Ransomware、RAT、Stealer等，”他們寫道。

Go的跨平臺功能使單個代碼庫能夠編譯到所有主要操作系統中。研究人員表示，這使得威脅參與者（例如BianLian背后的威脅參與者）可以輕松地進行不斷更改并為惡意軟件添加新功能以避免檢測。

過去一年活躍的其他用所謂的GoLang編寫的網絡威脅包括最近重新出現的名為 Kraken的僵尸網絡，以及嚴重混淆的后門Blackrota。

雖然國際執法部門加大力度打擊主要網絡犯罪集團的幕后黑手對勒索軟件產生了一些影響，但新的威脅運營商和勒索軟件變種不斷涌現，以取代現已不復存在的威脅運營商和勒索軟件變體。

Cyble在其博客文章中重申了勒索軟件防御的一些最佳實踐：運行定期離線備份；保持設備軟件更新，最好使用自動軟件更新；在設備上運行反惡意軟件；并避免打開任何可疑或未知的鏈接和附件。