首頁 > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2023 > 正文

2023勒索趨勢(shì)之模糊的家族界限

閱讀量：次 文章來源：安恒信息

勒索態(tài)勢(shì)日趨復(fù)雜

勒索軟件攻擊已經(jīng)成為全球網(wǎng)絡(luò)空間安全面臨的重大威脅和挑戰(zhàn)。

相較于2022年，2023年的勒索威脅態(tài)勢(shì)逐漸復(fù)雜，新型勒索軟件家族和攻擊事件頻發(fā)。

僅2023年上半年，全球披露的勒索攻擊事件達(dá)2000多次，同比去年有較大增長(zhǎng)。其中LockBit、Clop和BlackCat是今年迄今為止最為多產(chǎn)和活躍的勒索家族，受害者眾多。

例如，2023年6月，LockBit入侵了某全球知名芯片公司的IT硬件供應(yīng)商之一，并從中竊取了公司信息。隨后，LockBit向該公司索要高達(dá)7千萬美元的贖金，否則公開被盜數(shù)據(jù)。

Clop勒索組織在上半年利用多個(gè)0day漏洞，攻擊了數(shù)百個(gè)組織，竊取并售賣包括美國(guó)能源部等在內(nèi)的多家大型組織和機(jī)構(gòu)的數(shù)據(jù)，名噪一時(shí)。

除了在攻擊聲勢(shì)上愈發(fā)猖獗，勒索軟件生態(tài)在攻防博弈中也不斷地發(fā)展、創(chuàng)新和融合。

一方面，勒索組織將目標(biāo)擴(kuò)大到包括Linux、VMwareESXi、MacOS等在內(nèi)的多個(gè)架構(gòu)平臺(tái)。2023年出現(xiàn)了不少針對(duì)Linux/VMwareESXi的勒索家族及其變體，例如ESXiArgs，Akira、Cyclops等，其中Cyclops擁有針對(duì)包括Windows，Linux和MacOS系統(tǒng)在內(nèi)三種主流操作系統(tǒng)的勒索軟件開發(fā)能力。

另一方面，隨著勒索生態(tài)不斷豐富和相關(guān)網(wǎng)絡(luò)犯罪的盛行，一些勒索組織所使用的工具甚至源代碼逐漸被公開和流轉(zhuǎn)。尤其近2年來包括Conti、Babuk和LockBit等知名勒索組織泄露的源碼和構(gòu)建器，使得勒索開發(fā)門檻進(jìn)一步降低。

基于此類源碼和構(gòu)建器產(chǎn)生的新型勒索組織層出不窮，使得判定勒索組織/家族更為復(fù)雜，勒索家族之間越來越難以有清晰的界限。

以下我們將分析2023年觀察到的部分新勒索家族樣本，從中探尋勒索生態(tài)的演變趨勢(shì)。

潘多拉魔盒的開啟：Babuk勒索泄露

2021年9月，Babuk小組的一名成員在某個(gè)俄語黑客論壇上聲稱自己患有晚期癌癥，并發(fā)布了Babuk勒索軟件的完整源代碼。

Babuk Locker又稱Babyk，是2021年1月開始運(yùn)營(yíng)的勒索軟件。泄露的信息涵蓋創(chuàng)建功能性勒索軟件可執(zhí)行文件所需的所有內(nèi)容，包含適用于Windows、Linux/VMware ESXi和NAS加密器在內(nèi)的三個(gè)Visual Studio項(xiàng)目。

經(jīng)此事件后，陸續(xù)有發(fā)現(xiàn)基于Babuk的源碼所構(gòu)建的新型勒索家族，尤其是針對(duì)Linux/VMwareESXi的勒索家族樣本。

2023年3月，獵影實(shí)驗(yàn)室發(fā)現(xiàn)一種自稱CylanceRansomware的新型勒索家族。該勒索可以快速加密文件并添加擴(kuò)展名.Cylance，在目錄下放置勒索信文件CYLANCE_README.txt。

CylanceRansomware其擁有Windows和Linux兩種變體，經(jīng)分析Linux變體是復(fù)用Babuk的源代碼改造開發(fā)而來。

對(duì)比Babuk的Linux/VMware ESX源碼，例如在文件遍歷的函數(shù)部分，其結(jié)構(gòu)一致，函數(shù)名相同，替換了勒索信名稱和需要比較的擴(kuò)展名

2023年9月，Ragnar Locker的Linux變體樣本被披露，發(fā)現(xiàn)其同樣是基于Babuk代碼構(gòu)建，偽代碼比較如下圖所示。

Babuk的源碼泄露，給勒索軟件犯罪團(tuán)伙們提供了極大地幫助，尤其那些尚未成熟的勒索團(tuán)伙，通過Babuk的源碼可以進(jìn)一步完善和豐富勒索軟件的功能開發(fā)，催生出大量此前未出現(xiàn)的新型勒索家族。

被濫用的犯罪工具：LockBit構(gòu)建器

LockBit毫無疑問是勒索軟件發(fā)展史上具有里程碑式的勒索組織，也是目前的勒索生態(tài)中頂級(jí)的RaaS勒索集團(tuán)。

LockBit，曾用名為ABCD勒索軟件，自2020年1月以來，使用LockBit的附屬公司攻擊了一系列關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的不同規(guī)模的組織。

該勒索歷年來經(jīng)過多次變體，尤其2022年6月發(fā)布的LockBit3.0版本的加密器，使用包括參數(shù)密碼、隨機(jī)加密可執(zhí)行文件等多種保護(hù)技術(shù)避免被檢測(cè)和分析，此外該組織還引入漏洞賞金計(jì)劃邀請(qǐng)安全研究人員提交漏洞報(bào)告。

2022年9月，兩個(gè)不同版本的LockBit構(gòu)建器被公布，其擁有用于構(gòu)建所有文件的批處理文件、可自定義的配置文件、密鑰生成程序等，能夠生成各種DLL和EXE格式的加密器和解密器。

在泄露事件發(fā)生后不久，安全研究人員發(fā)現(xiàn)勒索組織Bl00dy使用該構(gòu)建器開發(fā)了屬于自己的勒索程序，其擁有自身獨(dú)特的勒索信風(fēng)格和聯(lián)系渠道。

在2023年，使用LockBit構(gòu)建器的勒索團(tuán)伙逐漸增多，對(duì)于小型勒索組織，技術(shù)能力較低的并不會(huì)對(duì)構(gòu)建器進(jìn)行大規(guī)模改造，加密圖標(biāo)、甚至背景桌面都可能沿用原有的LockBit風(fēng)格。

而對(duì)于一些富有創(chuàng)新和技術(shù)能力的勒索組織，則會(huì)進(jìn)行一定程度的定制化開發(fā)，包括加密圖標(biāo)、桌面背景、勒索信等，甚至還擁有自己的暗網(wǎng)聯(lián)系渠道。

獵影實(shí)驗(yàn)室近期發(fā)現(xiàn)多個(gè)基于LockBit構(gòu)建器的新型勒索家族，例如SOLEENYARansomware，該勒索對(duì)構(gòu)建器進(jìn)行了自定義的改造，有著不同于LockBit勒索的勒索信內(nèi)容和暗網(wǎng)聯(lián)系渠道。

下圖為安恒云沙箱勒索場(chǎng)景化分析的家族信息，從勒索信中自稱為SOLEENYARansomware，以及擁有自定義的Tor網(wǎng)站可以表明其背后勒索組織的獨(dú)立性。

將SOLEENYA與LockBit3.0以往樣本進(jìn)行分析比較，可以看出勒索信格式都為“后綴名.README.txt”，其次兩者在代碼結(jié)構(gòu)上類似，例如在API的獲取方法上基本一致。

與此類似的還有Blackout勒索家族樣本，勒索信同樣具有獨(dú)特的風(fēng)格。

這類基于LockBit構(gòu)建器所開發(fā)的勒索樣本，編譯時(shí)間都為2022-09-13 23:30:57 UTC，而且在VT中的文件名往往含有“LB3”字樣，這與構(gòu)建器生成的文件名類似。

LockBit構(gòu)建器的泄露，一方面使得一些低技術(shù)、小成本的犯罪團(tuán)伙可以快速開發(fā)出自己的勒索程序，靈活配置形成自定義的風(fēng)格。另一方面，具有較強(qiáng)創(chuàng)新能力的中大型勒索組織同樣可以利用構(gòu)建器增強(qiáng)自身，進(jìn)一步提高逃避檢測(cè)和抗分析能力。

難以分辨的混沌：Chaos構(gòu)建器

2021年，安全研究人員發(fā)現(xiàn)一款名為Chaos的勒索軟件構(gòu)建器在地下論壇中分發(fā)出售，一開始的V1版本不具備解密能力，更類似于破壞性的數(shù)據(jù)擦除器。隨著版本的迭代，目前的Chaos具有了一般勒索的加解密能力，并且實(shí)現(xiàn)了在內(nèi)網(wǎng)中擴(kuò)散，更改桌面背景等功能。

Chaos勒索是在.NET平臺(tái)上開發(fā)的一款勒索軟件，運(yùn)行后會(huì)檢查是否是管理員權(quán)限，并且將程序復(fù)制在用戶目錄下，名稱更改為“svchost.exe”此類偽裝成正常的進(jìn)程。

在加密前執(zhí)行刪除卷影副本、刪除備份、禁止自啟動(dòng)修復(fù)的命令操作。

Chaos勒索加密后綴為隨機(jī)的4個(gè)字符，采用AES/RSA的加密組合。

勒索信名稱一般為read_it，勒索信內(nèi)容如下：

在2023年，我們發(fā)現(xiàn)了一系列由Chaos勒索構(gòu)建器生成的勒索樣本，它們往往只更改了一些數(shù)據(jù)信息，例如壁紙圖片、勒索信內(nèi)容以及聯(lián)系渠道、比特幣地址等，而在代碼和功能上與原有的Chaos勒索保持了一致。

Apocalipse勒索：

NIGHTCROW勒索：

此類勒索一般使用比特幣作為贖金支付的手段，往往沒有像中大型勒索組織那樣建立tor博客和數(shù)據(jù)泄露網(wǎng)站，而是通過匿名服務(wù)進(jìn)行聯(lián)系，例如匿名郵箱、TG和TOX等。

思考總結(jié)

無論是泄露的源碼/構(gòu)建器還是在黑市出售的定制化勒索開發(fā)工具，都在助長(zhǎng)勒索軟件攻擊囂張氣焰。

獵影實(shí)驗(yàn)室專家表示在全球經(jīng)濟(jì)形勢(shì)低迷和政治局勢(shì)動(dòng)蕩的背景下，可能會(huì)出現(xiàn)更多網(wǎng)絡(luò)犯罪組織和集團(tuán)，尤其受到巨大利潤(rùn)的吸引，勒索軟件攻擊可能會(huì)持續(xù)增加。

對(duì)于勒索組織而言，現(xiàn)成的源碼和構(gòu)建器能夠節(jié)省大量的開發(fā)成本和精力，使得他們更專注于如何隱蔽地進(jìn)行攻擊和竊密，并且擴(kuò)大影響，達(dá)到掠取贖金的目的。

源碼和構(gòu)建器的濫用也給勒索攻擊的檢測(cè)和防御帶來挑戰(zhàn)。勒索家族的界定逐漸變得模糊，一種新的勒索樣本很可能參考和沿用了多個(gè)勒索家族的代碼和功能，這增加了對(duì)此類攻擊的準(zhǔn)確識(shí)別和及時(shí)防范的難度。

因此，必須改進(jìn)和加強(qiáng)勒索軟件攻擊的監(jiān)測(cè)技術(shù)和防御機(jī)制，加強(qiáng)信息共享與合作，提高對(duì)勒索軟件攻擊的理解和研究，及時(shí)更新防御工具和策略，以確保網(wǎng)絡(luò)安全并保護(hù)用戶的數(shù)據(jù)免受勒索軟件攻擊的威脅。

“

防范建議

1.? 及時(shí)備份重要數(shù)據(jù)。

2.? 不隨意打開來源不明的程序。

3.? 不訪問未知安全性的網(wǎng)站等。

4.? 使用合格的安全產(chǎn)品

5.? 定期檢查系統(tǒng)日志中是否有可疑事件

6.? 重要資料的共享文件夾應(yīng)設(shè)置訪問權(quán)限控制，并進(jìn)行定期離線備份, 關(guān)閉不必要的文件共享功能

7.? 不要輕信不明郵件，提高安全意識(shí)

目前安全數(shù)據(jù)部已具備相關(guān)威脅檢測(cè)能力，對(duì)應(yīng)產(chǎn)品已完成IoC情報(bào)的集成。

安恒信息產(chǎn)品已集成能力：

針對(duì)該事件中的最新IoC情報(bào)，以下產(chǎn)品的版本可自動(dòng)完成更新，若無法自動(dòng)更新則請(qǐng)聯(lián)系技術(shù)人員手動(dòng)更新：