頻繁升級,勒索新變種不斷涌現(xiàn)

發(fā)布時間 2022-07-22

在過去的幾周里,F(xiàn)ortiGuard Labs 觀察到了幾個新的勒索軟件變體,這些變體在活動之后就獲得了一定的關(guān)注度。不過對于勒索軟件,這早已不是什么新鮮事,因?yàn)槔账鬈浖蛷奈赐V够顒舆^,一直以來它對企業(yè)來說都是極具威脅的存在,一旦中招,受害者就有可能面臨運(yùn)營中斷、機(jī)密信息被盜、贖金支付造成的金錢損失等,所以提高人們對勒索軟件的認(rèn)識還是非常有必要的。

為了讓大家對市面上常見的勒索軟件有基本的了解,本文收集了常見的勒索軟件類型以及它們的發(fā)展,包括LockBit、BlueSky、Deno、RedAlert、Dark Web Hacker、Hive 和 Again 勒索軟件等。

LockBit 勒索軟件

LockBit是一種針對Windows和Linux的勒索軟件。自 2019 年 12 月以來,它一直活躍。該勒索軟件采用了勒索軟件即服務(wù) (RaaS) 模型,其運(yùn)營商十分重視對LockBit勒索軟件的開發(fā),為此也同時開發(fā)了支持它的所有必要工具和基礎(chǔ)設(shè)施,例如泄密站點(diǎn)和贖金支付門戶。他們將這些解決方案提供給其他使用該勒索軟件的分支機(jī)構(gòu)(為使用他們的技術(shù)而付費(fèi)的犯罪分子),甚至包括額外的服務(wù),例如贖金談判。

在執(zhí)行實(shí)際攻擊中,LockBit分支機(jī)構(gòu)會將勒索軟件感染并部署到目標(biāo)中,作為回報,他們會獲得受害者支付的20%的贖金。雖然根據(jù)運(yùn)營商的規(guī)則是禁止分支機(jī)構(gòu)在關(guān)鍵基礎(chǔ)設(shè)施環(huán)境中加密文件,例如核電廠或天然氣和石油行業(yè),但卻允許分支機(jī)構(gòu)在不加密關(guān)鍵文件和/或這些組織的基礎(chǔ)設(shè)施的情況下竊取數(shù)據(jù)。此外,分支機(jī)構(gòu)也被禁止攻擊前蘇聯(lián)國家。

在實(shí)施加密前,LockBit分支機(jī)構(gòu)通常還會使用一種由LockBit 團(tuán)伙開發(fā)的信息竊取工具“StealBit”來竊取目標(biāo)設(shè)備里的數(shù)據(jù),經(jīng)勒索軟件加密的文件通常具有“.lockbit”文件擴(kuò)展名,同時該勒索軟件還會在 Restore-My-Files.txt 中留下勒索信。LockBit的一些變體甚至還會用一條消息替換桌面墻紙,讓受害者知道他們已經(jīng)被勒索了。LockBit通常還會采用雙重勒索策略,比如要求受害者用比特幣支付贖金以恢復(fù)受影響的文件,并保證不會將被盜信息泄露給公眾。

LockBit 3.0作為LockBit 2.0的升級于2022年3月首次亮相,該勒索軟件在6月再次受到關(guān)注,因?yàn)樵摾账鬈浖F(tuán)伙推出了一項(xiàng)“漏洞賞金”計(jì)劃,獎勵在1000美元至1,000,000美元之間,用于檢測其產(chǎn)品中的缺陷和弱點(diǎn)。

BlueSky勒索軟件

BlueSky 作為近期發(fā)現(xiàn)的一種勒索軟件變種,它的一些勒索軟件樣本以“MarketShere.exe”和“SecurityUpdate.exe”的形式在線分發(fā),在入侵目標(biāo)之后,BlueSky會加密受感染機(jī)器上的文件,然后添加“.bluesky”文件擴(kuò)展名。同時它還會在“#DECRYPT FILES BLUESKY #.txt”和“#DECRYPT FILES BLUESKY #.html”中放置勒索信,讓要求受害者訪問BlueSky TOR網(wǎng)站并按照提供的說明進(jìn)行操作。

Deno勒索軟件

這種新型勒索軟件變種在加密目標(biāo)設(shè)備文件后,也會給加密文件添加“.DENO”文件擴(kuò)展名。同樣,它也會在“readme.txt”中放置勒索信,信中提供了兩個ProtonMail 電子郵件地址供受害者聯(lián)系攻擊者。目前沒有太多信息關(guān)系該威脅行為者的最終索要的贖金以及他們的真正目的。

RedAlert

RedAlert也稱為N13V,是7月初發(fā)現(xiàn)的一種新型勒索軟件。它會影響 Windows 和 Linux VMWare (ESXi) 服務(wù)器。它不但會加密受感染機(jī)器上的文件,也會從中竊取數(shù)據(jù)。該勒索軟件變種添加到受影響文件的一個報告文件擴(kuò)展名是“.crypt658”,但這可能會因受害者而異。

和其他勒索軟件相比,他們通常使用雙重勒索策略,除了要求支付贖金以恢復(fù)受影響的文件,也會威脅受害者將其數(shù)據(jù)發(fā)布到網(wǎng)站供用戶下載。為了迫使受害者及時支付贖金,威脅行為者還要求受害者在72小時內(nèi)聯(lián)系攻擊者,否則攻擊者會將部分被盜數(shù)據(jù)發(fā)布到他們的泄密站點(diǎn)。其他威脅包括對受害者發(fā)起分布式拒絕服務(wù) (DDoS) 攻擊,以及給受害者的員工打電話等等。

Dark Web Hacker

在入侵目標(biāo)之后,Dark Web Hacker先加密受感染機(jī)器上的文件,并將“.[4 個隨機(jī)字符}”附加到目標(biāo)文件和文件名的末尾,然后在“read_it.txt”中留下勒索信,其中包含攻擊者的聯(lián)系電子郵件地址和比特幣地址,該勒索組織要求的贖金是價值3,000美元的比特幣。他們還曾將受害者的桌面壁紙?zhí)鎿Q為他們自己的壁紙,比如一個比特幣二維碼,以方便受害者快速支付贖金。

Hive

Hive勒索軟件近期的活躍度有點(diǎn)高,它是另一種勒索軟件即服務(wù) (RaaS),它不但加密受害者設(shè)備上的文件,還會竊取數(shù)據(jù),并要求用戶支付費(fèi)用以恢復(fù)受影響的文件,否則被加密的數(shù)據(jù)就會被泄露在該勒索組織被稱為“HiveLeaks”的站點(diǎn)上。

這個臭名昭著的勒索軟件曾經(jīng)就嚴(yán)重影響了哥斯達(dá)黎加的公共衛(wèi)生系統(tǒng),據(jù)報道,該系統(tǒng)曾被Hive勒索軟件入侵并遭到破壞。經(jīng)研究,該勒索軟件的最新版本是用Rust編程語言編寫的,而舊版本的變體是用Go編寫的,好在目前其解密工具已推出。

Again

Again可能起源于Babuk,它與Babuk共享相同的源代碼(其整個源代碼于 2021 年泄露),你甚至可以把其視為Babuk變體的一個分支。Again 勒索軟件會尋找要加密的文件并將“.again”附加到文件名中,使用戶無法打開這些文件。受害者會看到一個名為“如何恢復(fù)您的文件.txt”的文本文件,上面留有聯(lián)系威脅行為者的網(wǎng)站信息,在該網(wǎng)站上,在該頁面,受害者可以發(fā)消息給威脅行為者以通過支付贖金換取文件。

要不要支付贖金

當(dāng)遭遇勒索軟件之后,用戶要不要支付贖金?CISA、NCSC、FBI和HHS等組織給了我們答案,部分原因是即便支付之后也不能保證文件會被恢復(fù)。根據(jù)美國財(cái)政部外國資產(chǎn)控制辦公室 (OFAC) 的建議,支付贖金還可能鼓勵這些勒索組織針對其他企業(yè)繼續(xù)發(fā)起勒索攻擊,也變相為這些不法分子提供了實(shí)施其他不法活動的資金。