最近发现了四个新兴的勒索软件组织:AvosLocker、Hive、HelloKitty、LockBit2.0。他们很活跃,将来可能会产生更大的影响。AvosLocker于6月底开始活动,其标志性图标是一只蓝色甲虫;双重勒索勒索软件Hive于6月开始活动,已影响28家机构;HelloKitty最早可以追溯到2020年,主要针对Windows系统,今年7月,HelloKitty的Linux变体开始针对VMware的ESXihypervisor;LockBit2.0与一些备受瞩目的攻击有关,影响多个行业,目前已有52名受害者,本文将对这些勒索软件进行详细分析。AvosLockerAvosLocker是一种全新的勒索软件,于2021年7月4日首次被发现。它遵循RaaS模型。同名勒索软件运营商avos曾在暗网上发布广告,包括勒索软件特征等信息。执行时,AvosLocker首先打开一个显示加密过程进度的Windowsshell。加密完成后,它会将.avos扩展名附加到加密文件,并在每个加密目录中放置赎金票据GET_YOUR_files_BACK.TXT。加密文件:AvosLockerTOR网站:提交ID后,受害者会被要求赎金,赎金最低5万美元,最高7.5万美元。与其他勒索软件组织一样,如果受害者未在指定时间内付款,AvosLocker会提高赎金价格。到目前为止,他已经影响了七个组织:两家律师事务所,一家在英国,一家在美国;西班牙的一家物流公司;比利时的一家房地产公司;一家土耳其公司;叙利亚运输组织和一个美国城市。HiveHive勒索软件于2021年6月开始运行,针对的组织包括医疗保健提供商和一些缺乏抵御勒索软件攻击能力的中型组织。Hive网站上列出的28名受害者包括一家欧洲航空公司和三家美国机构、硬件零售、制造和法律部门。勒索软件执行时,会下载两个批处理脚本,hive.bat尝试删除自身,第二个脚本shadow.bat负责删除系统的卷拷贝。Hive勒索软件将[Randomiccharacters].Hive扩展名添加到加密文件中,并留下名为HOW_to_DECRYPT.txt的赎金票据。赎金票据中提供的登录凭据是特定于受害者的。登录后,受害者可以与Hive组织对话并获得解密器。HelloKittyHelloKitty最早出现于2020年底,主要面向Windows系统。2021年7月,一个名为fully_Linux.ELF的Linux(ELF)样本被发现,可追溯到2020年10月,从今年3月开始,样本开始针对ESXi。受HelloKitty影响的六个组织包括意大利和荷兰制药组织、德国制造商、澳大利亚工业自动化解决方案机构、美国医疗保健组织和股票经纪人。赎金高达1000万美元,最低95万美元,还支持BTC支付。LinuxHelloKitty勒索软件参数:LockBit2.0LockBit遵循RaaS模式,自2019年9月开始活跃,近期升级为LockBit2.0。自2021年6月以来,他们一直在阿根廷、澳大利亚、奥地利、比利时、巴西、德国、意大利、马来西亚、墨西哥、罗马尼亚、瑞士、英国和美国开展勒索活动。官方网站会对受害者文件的解密和发布进行倒计时,从而给所有受害者施加压力。攻击者声称他们的软件是目前最快的加密软件。LockBit执行时开始加密文件并附加.LockBit扩展名,将加密文件的图标更改为LockBit2.0标志,加密完成后留下名为Restore-My-Files.txt的勒索字条。如果加密成功,LockBit2.0勒索软件会修改受害者的桌面壁纸:官网受害者登录界面:IOC(1)AvosLocker43b7a60c0ef8b4af001f45a0c57410b7374b1d75a6811e0dfc86e4d60f503856fb544e1f74ce02937c3a3657be8d125d5953996115f65697b7d39e237020706f3984968230c96d52d78af1905ea1b224e7de36776a6af398a0462321f3c2202001792043e07a0db52664c5878b253531b293754dc6fd6a8426899c1a66ddd61f(2)HiveRansomwareA0b4e3d7e4cd20d25ad2f92be954b95eea44f8f1944118a3194295c5677db7491e21c8e27a97de1796ca47a9613477cf7aec335a783469c5ca3a09d4f07db0ffFdbc66ebe7af710e15946e1541e2e81ddfd62aa3b35339288a9a244fb56a74cf88f7544a29a2ceb175a135d9fa221cbfd3e8c71f32dd6b09399717f85ea9afd1(3)HelloKitty(Linux)16a0054a277d8c26beb97850ac3e86dd0736ae6661db912b8782b4eb08cfd36e556e5cb5e4e77678110961c8d9260a726a363e00bf8d278e5302cb4bfccc3eed9f82f22c137688d0b3e7912d415605d2bbc56478311fd0b3dc265f8d0006aa8c8f3db63f70fad912a3d5994e80ad9a6d1db6c38d119b38bc04890dfba4c4a2b2bedf30bbcefc54bc48432674255856f47c0ba2ec46e913d078a53e66ac9dcff8Ca607e431062ee49a21d69d722750e5edbd8ffabcb54fa92b231814101756041b4f90cff1e3900a3906c3b74f307498760462d719c31d008fc01937f5400fb85(4)Lockbit2.0F32e9fb8b1ea73f0a71f3edaebb7f2b242e72d2a4826d6b2744ad3d8306712024de287e0b05e138ab942d71d1d4d2ad5fb7d46a336a446f619091bdace4f2d0aF3e891a2a39dd948cd85e1c8335a83e640d0987dbd48c16001a02f6b7c1733aeEa028ec3efaab9a3ce49379fef714bef0b120661dcbb55fcfab5c4f720598477Bcdb59232137e570d4afb3c635f8df19ceb03e3f57fe558f4fc69a0be778c6ab原文链接:unit42
