Ranion勒索軟件分析
受影響的平臺:Microsoft Windows
受影響對象:Windows 用戶
影響:加密受攻擊設備上的文件,并要求受害者支付贖金以恢復加密文件。
嚴重程度:高
Ranion 是一種贖金即服務 (RaaS),由于它至少自 2017 年 2 月以來就開始活躍了,因此它的迭代版本也相當多。雖然它的活動和目的是加密受攻擊設備上的文件并從用戶那里獲取贖金以恢復他們的文件,這使得它看起來與其他勒索軟件相同,但事實是,Ranion RaaS 的內部工作原理與其他勒索軟件截然不同。
勒索軟件每個版本的使用周期通常很短,比如2021 年一些最著名的勒索軟件運動包括:
已經消失的:
- 自 2019 年以來一直活躍的 REvil(又名 Sodinokibi)已經消失;
- Avaddon 勒索軟件;
- Ragnarok 勒索軟件;
- Darkside勒索軟件;
- FonixCrypter 勒索軟件在 1 月份放棄了犯罪活動,并發布了解密工具及其主解密密鑰;
最新出現的:
- 7 月,Blackmatter 勒索軟件的廣告出現在網絡地下論壇上。雖然 Blackmatter 不是另一種勒索軟件的迭代,但有傳言稱其與 Darkside 有聯系;
- Haron 勒索軟件于 7 月首次亮相,基于 Thanos 和 Abaddon 勒索軟件開發;
- Doppelpaymar 勒索軟件更名為 Grief (PayOrGrief);
- SynAck 勒索軟件于 8 月更名為 El_Cometa;
2021 年停止/開始運行的勒索軟件的活躍期
上面列出的勒索軟件(在 2021 年消失或重新命名)的平均壽命不到兩年。停止運行的原因因勒索軟件組而異,但他們這樣做通常是為了逃避執法部門和安全研究人員。
Ranison 勒索軟件已經活躍了四年
FortiGuard實驗室最近發現的Ranion勒索軟件變種正好與這一趨勢背道而馳。Ranison勒索軟件家族似乎至少在2017年初就存在了,使其壽命超過四年。同年2月,Radware安全公司的丹尼爾·史密斯首次披露了Ranion勒索軟件,并將其描述為“勒索軟件即服務”。令人驚訝的是,它在暗網上的網站仍然保持相對不變,Ranion的開發者仍然聲稱Ranion是為教育目的而創建的,并要求用戶不要使用該勒索軟件進行非法活動。
Ranion 的最新版本 1.21 版本于 2021 年 7 月發布。令人驚訝的是,Ranion 開發者在 2021 年(5 月除外)每個月都會更新勒索軟件,包括檢測規避的更新,這讓人懷疑勒索軟件是用于教育目的。另一個有趣的數據點是,版本1.08至少在2018年1月發布,在35個月內(2018年1月- 2020年12月)只更新了7次。然而,在2021年,它的開發速度迅速加快,在7個月的時間里,由于未知的原因進行了6次更新。2021年進行的每次更新都包含使用名為ConfuserEx的開源程序的額外代碼,以逃避檢測并保護安全供應商的身份。
Ranion RaaS介紹
暗網上 Ranion 勒索軟件網頁的頂部
最新版本的 Ranion 勒索軟件旨在使用以下 44 種文件擴展名加密受攻擊設備上的文件,與之前的分析相比增加了五種新文件類型(新添加的擴展名以橙色突出顯示):
盡管勒索軟件并非旨在加密可執行文件,但 Ranion 開發人員表示,用戶可以要求免費加密其他文件類型/擴展名,因為任何文件都可能成為Ranion勒索軟件的目標。
Ranion 的經營策略
早在 2017 年,Ranion 就為用戶提供了兩個支持包(1 年和 6 個月的服務)。今天,Ranion 團隊提供四種支持包:精英、高級、標準和測試。
Ranion 勒索軟件包和價格
以前,最貴的套餐是 0.95 比特幣,最便宜的套餐是 0.60 比特幣。2017 年 2 月,一個比特幣價值約 1200 美元,這意味著這些包裹的售價分別約為 1140 美元和 720 美元。截至 2021 年 9 月,一個比特幣兌換了大約 50000 美元,因此 Ranion 開發人員調整了價格,現在他們還為易于購買的附加選項提供折扣。
Ranion 的商業模式與其他 RaaS 供應商截然不同。通常,勒索軟件即服務供應商將 60%-80% 的贖金支付給已成功將其勒索軟件安裝到受害者設備上的“關聯公司”。Ranion 開發人員不接受中間人的分成。相反,他們的附屬公司預先為 RaaS 服務付費,然后他們會收到 100% 的贖金。雖然一些 RaaS 供應商試圖招募有經驗的附屬公司,并經常在允許他們注冊服務之前篩選潛在的附屬公司,但 Ranion 開發人員卻沒有。這是許多沒有經驗的附屬公司從 Ranion 開始的原因之一,因為降低了進入門檻。
為了了解這個模型的運行情況,我們跟蹤了一個較舊的 Ranion 樣本用于支付贖金的一些比特幣錢包。在提供 Ranion 樣本后的一周內,向錢包支付了兩次付款,總計約 153 美元和 460 美元的比特幣。但是 Ranion 使用的一個比特幣錢包記錄了來自另外兩個比特幣錢包的交易。價值約 470 萬美元的比特幣從 300 多個不同的比特幣錢包轉移到其中一個錢包中。
dropper插件
Ranion 的另一個顯著特點是它為買家提供了購買dropper附加組件的機會。乍一看,“dropper”可能聽起來像是一個惡意軟件插件,Ranion 附屬公司可以使用它來提供勒索軟件,但事實并非如此。根據購買網站上的常見問題解答,這個插件的描述如下:“RANION可以下載你的一個程序(exe文件),并在加密過程結束后執行它。”
例如,攻擊者可能會使用此附加組件在感染了 Ranion 的受害者計算機上靜默下載并安裝遠程訪問工具“RAT”。即使受害者選擇支付贖金,Ranion 解密程序也只會解密加密文件,但不會刪除 RAT。然后,Ranion 附屬公司可以轉向其他愿意購買現有企業訪問權限的 RaaS 服務(比如 Lockbit 2.0 和 Blackmatter RaaS)并出售受害的受害者以獲得額外的利潤。
付費“Dropper”附加組件的常見問題解答
Ranion 的 C&C 儀表板示例
Ranion 勒索軟件傳播
FortiGuard 實驗室最近觀察到的 Ranion 勒索軟件的傳播方法非常簡單,它是通過帶有 zip 文件附件的魚叉式網絡釣魚電子郵件完成的,其中包含 Ranion 勒索軟件可執行文件。由于 Ranion 更適合一般攻擊者,所以他們的勒索軟件沒有被高級攻擊者是哦寧。這也可能是為什么他們能夠在長達四年多的時間里一直繼續運營。
最近用于傳播 Ranion 勒索軟件的魚叉式網絡釣魚電子郵件(西班牙語和法語)
Ranion 的贖金信息默認支持八種語言(英語、俄語、德語、法語、西班牙語、意大利語、荷蘭語和波斯語),任何主要使用這些語言的地區都可以成為 Ranion 的目標。
Ranion Ransomware 是模仿HiddenTear ?
全球首款開源勒索軟件–Hidden Tear,其完整源代碼已發布在GitHub上。這讓攻擊者可以下載源代碼并創建自己的勒索軟件變種,用于感染受害者。
由于源代碼唾手可得,有許多名稱各異的勒索軟件變種使用同樣的HiddenTear代碼庫。由于原始代碼是可以解密的,這意味著用相同代碼創建的其他所有勒索軟件也是可以解密的。
Ranion 的代碼基于名為 HiddenTear 的開源概念驗證勒索軟件。這兩個項目之間有一些代碼相似之處。
HiddenTear AES 加密
上面的截圖來自HiddenTear對加密功能的植入。它可以在 https://github.com/goliate/hidden-tear/blob/master/hidden-tear/hidden-tear/Form1.cs 找到。Ranion 的實現過程如下:
Ranion AES 加密
為了加密文件,HiddenTear 使用此功能。
HiddenTear 文件加密
Ranion 以類似的方式實現其加密。
Ranion 文件加密
這只是兩個例子,在很多地方都可以看到總體編程的相似性。此外,Ranion 的資源部分也與 HiddenTear 相似。
Ranion 資源
注意:此 Ranion 變體來自 2017 年,其 SHA256 哈希值為 eed03a9564aee24a68b2cade89d7fbe9929e95751a9fde4539c7896fda6bdcb5。
成為 FFFFUUUUDDDD
為了不被發現,Ranion 團隊一直依賴于 ConfuserEx 項目,該項目是現已解散的 Confuser 項目的繼承者。它是一個免費的開源混淆程序,通過符號重命名、反調試、加密、壓縮和其他功能“保護”.NET 應用程序,使惡意軟件更難分析。下面分析的 2017 Ranion 變體就受到 Confuser 項目的“保護”。
2017 Ranion使用Confuser
使用 ConfuserEx 項目“保護”了以下 Ranion 的 2021 變體。
使用 ConfuserEx 的 2021 Ranion
雖然 ConfuserEx 能夠按照它所說的去做,即“保護”.NET 應用程序,但在這種情況下,它是通過逃避技術保護惡意軟件不被殺毒軟件檢測到。
