在过去的几周里,FortiGuardLabs观察到了几个新的勒索软件变种,这些变种在活动结束后受到了一些关注。不过,对于勒索病毒来说,这并不是什么新鲜事,因为勒索病毒从未停止过活动,它一直是对企业的威胁。一旦中招,受害者可能会面临运营中断、机密信息被盗、因支付赎金而造成的金钱损失等,因此提高对勒索软件的认识仍然是非常必要的。为了让大家对市面上常见的勒索病毒有一个基本的了解,本文收集了常见的勒索病毒类型及其发展历程,包括LockBit、BlueSky、Deno、RedAlert、DarkWebHacker、Hive和Again勒索病毒等。是针对Windows和Linux的勒索软件。它自2019年12月以来一直活跃。勒索软件使用勒索软件即服务(RaaS)模型,其运营商非常重视LockBit勒索软件的开发,并开发了所有必要的工具和基础设施来支持它,例如泄漏站点和赎金支付门户。他们向使用勒索软件的其他分支机构(付费使用其技术的犯罪分子)提供这些解决方案,甚至包括赎金谈判等额外服务。在进行实际攻击时,LockBit分支机构会将勒索软件感染并部署到目标中,作为回报,他们将获得受害者支付的赎金的20%。虽然运营商的规则禁止分支机构在关键基础设施环境(例如核电站或天然气和石油行业)中加密文件,但允许分支机构在不加密关键文件和/或这些组织数据的基础设施的情况下进行窃取。此外,附属机构被禁止攻击前苏联国家。在实施加密之前,LockBit的分支机构通常还会使用LockBit团伙开发的信息窃取工具“StealBit”从目标设备中窃取数据。被勒索软件加密的文件通常带有“.lockbit”文件扩展名,同时该勒索软件还在Restore-My-Files.txt中留下勒索字条。LockBit的某些变体甚至会用一条消息替换桌面墙纸,让受害者知道他们已被勒索。LockBit还经常采用双重勒索手段,比如要求受害者用比特币支付赎金来恢复受影响的文件,并保证被盗信息不会泄露给公众。LockBit3.0作为LockBit2.0的升级版于2022年3月首次亮相,勒索软件在6月再次受到关注,当时勒索软件团伙启动了一项“漏洞赏金”计划,提供1,000至1,000,000美元的奖励,以检测其产品中的缺陷和弱点。BlueSky勒索软件BlueSky是最近发现的勒索软件变种。它的一些勒索软件样本以“MarketShere.exe”和“SecurityUpdate.exe”的形式在线分发。入侵目标后,BlueSky会对文件进行加密,并添加“.bluesky”文件扩展名。同时,它还会在“#DECRYPTFILESBLUESKY#.txt”和“#DECRYPTFILESBLUESKY#.html”中放置勒索信,要求受害者访问BlueSkyTOR网站并按照提供的说明进行操作。Deno勒索软件这种勒索软件的新变种在对目标设备上的文件进行加密后,还会为加密文件添加一个“.DENO”文件扩展名。同样,它还在“readme.txt”中放置了勒索字条,其中提供了两个ProtonMail电子邮件地址,供受害者联系攻击者。关于这个威胁行为者要求的最终赎金及其真正目的的信息不多。RedAlertRedAlert,又名N13V,是7月初发现的一种新型勒索软件。它会影响Windows和LinuxVMWare(ESXi)服务器。它不仅会加密受感染机器上的文件,还会从中窃取数据。据报告,此勒索软件变体添加到受影响文件的文件扩展名为“.crypt658”,但这可能因受害者而异。与其他勒索软件相比,它们通常采用双重勒索策略,除了要求赎金以恢复受影响的文件外,还会威胁受害者将其数据发布到网站上供用户下载。为了迫使受害者及时支付赎金,威胁者还要求受害者在72小时内与攻击者联系,否则攻击者会将部分被盗数据发布到他们的泄密站点。其他威胁包括对受害者发起分布式拒绝服务(DDoS)攻击、给受害者的员工打电话等等。DarkWebHacker入侵目标后,DarkWebHacker首先对被感染机器上的文件进行加密,并在目标文件和文件名末尾附加“.[4个随机字符}”,然后留在“read_it.txt”中”勒索信中包含攻击者的联系电子邮件地址和比特币地址,索要3,000美元的比特币。他们还将受害者的桌面墙纸换成了自己的,比如比特币二维码,这样受害者就可以快速支付赎金。最近比较活跃的HiveHive勒索软件是另一种勒索软件即服务(RaaS),它不仅会加密受害者设备上的文件,还会窃取数据并要求用户付费才能恢复受影响的文件。否则,加密数据将在勒索集团的网站上泄露,该网站被称为“HiveLeaks”。臭名昭著的勒索软件曾经严重影响了哥斯达黎加的公共卫生系统,据报道,该系统受到Hive勒索软件的破坏和破坏。经研究,该勒索病毒的最新版本是用Rust编程语言编写的,而旧版本的变种是用Go语言编写的。幸运的是,现在可以使用它的解密工具。AgainAgain可能起源于Babuk,它与Babuk共享相同的源代码(它的整个源代码在2021年被泄露),你甚至可以认为它是Babuk变体的一个分支。再次,勒索软件寻找要加密的文件并将“.again”附加到文件名,使用户无法访问它们。受害者会看到一个名为“HowtoRecoverYourFiles.txt”的文本文件,其中包含网站联系威胁行为者的信息,受害者可以在其中向威胁行为者发送消息,以换取为文件支付赎金。你想支付赎金吗?遇到勒索病毒时,用户是否应该支付赎金?CISA、NCSC、FBI和HHS等组织已经给了我们答案,部分原因是即使付款后也无法保证文件会被恢复。据美国财政部海外资产控制办公室(OFAC)称,支付赎金还可能鼓励这些勒索团伙继续对其他公司发起勒索攻击,同时也为这些不法分子在美国开展其他非法活动提供资金。伪装。参考来源:https://www.fortinet.com/blog/threat-research/ransomware-roundup-new-variants
