如今提到网络威胁,大多数人都会想到勒索软件,尤其是密码类型的恶意软件。随着新冠疫情的爆发和几大网络犯罪集团(Maze、REvil、Conti、DarkSide、Avaddon)的出现,一个完整的犯罪生态系统已经形成。上半年,一系列备受瞩目的勒索软件事件发生后,例如对ColonialPipeline(美国最大的燃料管道)、JBS和Kaseya的攻击,目前的攻击组织大多倾向于在独联体以外活动,尽管如此,该地区仍然存在大量恶意团体。本文重点梳理2021年上半年独联体地区最活跃的勒索木马家族及其技术特点。2021年1-2021年1-7月,被勒索病毒攻击的企业数量;2021年1-7月,被勒索病毒攻击的企业占比勒索软件BigBobRoss该勒索软件于2018年底开始活跃,目前仍在使用中。它的主要载体是破解RDP密码。启动BigBobRoss时,会显示运营商的技术信息,包括用于后续文件解密的密钥。该恶意软件还通过Telegram发送包含此信息的消息。在每个文件的开头添加攻击者的电子邮件地址和受害者ID,然后是原始名称和扩展名,最后是勒索软件添加的扩展名。此外,每个文件夹中都会添加一条带有攻击者详细信息的注释。该程序在ECB模式(简单替换模式)中使用来自CryptoPP加密库的带有128位密钥的AES对称算法。PDB保留有关项目名称的信息,其背后的开发人员可能会说俄语,但这只是一个猜测。CrysisCrysis是用C/C++编写并在MSVisualStudio中编译的。该恶意软件在CBC模式下使用AES-256算法对文件进行加密。木马启动后生成一个256位的AES密钥,用RSA-1024算法加密,攻击者的公钥包含在木马中。每个文件都使用上述AES密钥以及新生成的128位初始化向量(IV)进行加密。加密文件除了加密内容外,还存储了IV、RSA加密的AES密钥,以及辅助信息,包括攻击者的标签(一个字符串值)、使用的RSA公钥的SHA1哈希值、原始文件名,以及加密类型(文件中要加密的部分对小文件和大文件的选择不同)和校验和。Phobos与大多数现代勒索软件一样,Phobos通过RaaS附属程序进行分发。感染的主要媒介是未经授权的RDP访问。CryakCryakl已被多次重写,每个新版本都引入了一些新功能。它通过附属程序传播。目前,其最常见的攻击媒介是通过RDP。为了方便攻击者,木马支持图形界面。操作员在程序窗口中手动配置必要的设置。当前版本的Cryakl的一个有趣功能是对存档格式的高级处理,这是其他勒索软件所没有的。解析ZIP格式的程序CryptConsole的一部分仍然处于活动状态。它用C#编写,使用.NET库进行加密,主要分发工具是破解RDP密码。为了加密,生成了两个密钥和IV对,并将此信息写入一个文本文件,该文件的名称是与用户的唯一标识符(注释中的个人ID)匹配的40个字符的字符串。假设恶意软件操作员通过RDP获得访问权限,运行勒索软件并为自己保存此文件,然后将其从受害者的设备中删除。如上所述,勒索软件会生成两个随机对:key+IV和key2+IV2。然后将文件大小与先前生成的随机大小值进行比较。最新版本的Fonix模仿Crysis和Phobos木马,对加密文件使用相同的扩展名和命名方案。Fonix使用CryptoPP库用C++编写,并在MSVisualStudio中编译为64位可执行文件。它采用RaaS方案传播,主要通过带有恶意附件的垃圾邮件进入受害者系统。每次成功攻击后,勒索软件都会通过Telegram向其运营商发送通知。LimbozarLimozar用C++编写,在MSVisualStudio中编译,并使用CryptoPP库来实现加密功能。现有版本的Limbozar会生成一个RSA-2048会话密钥对,后跟一个256位密钥和一个用于GCM模式下AES算法的96位初始化向量。在这个准备阶段之后,Limbozar搜索受害者的文件并使用AES-GCM算法对其进行加密,并为每个文件生成唯一的密钥+IV对,然后使用RSA会话公钥对其进行加密。加密后,恶意软件将攻击者的请求保存在Decrypt-info.txt文件中。完全加密后,Limbosar还会使用POST请求向其C&C服务器发送有关新受害者的通知。对于网络通信,使用SFML库。Thanos勒索软件是用C#编写的。根据我们掌握的信息,其主要传播工具是破解RDP密码。由于传播模型是RaaS,因此勒索软件是通过构建器传播的。构建器中有许多不同的设置:基本的(加密文件的扩展名、赎金票据的名称和内容、付款地址)和更高级的(代码混淆、自我删除、禁用WindowsDefender、绕过反恶意软件扫描接口(AMSI))),解锁被其他进程占用的文件,保护勒索进程,防止休眠,执行延迟,大文件快速加密模式,设置加密文件扩展名,选择受害者通知方式).泄漏的构造函数可以在网上找到。XMRLocker它是用C#编写的,使用.NET库进行加密。使用随机长度65-101个字符的生成密码进行加密,使用由英文大小写字母和一些特殊字符组成的固定字母表生成密码。加密采用AES算法,密钥长度为256位,CFB方式采用PKCS7填充。预生成的密码通过PBKDF2函数传递50000次迭代,并将结果转换为密钥和IV以进一步加密。PBKDF2使用一个32字节的随机盐值,它被写在每个文件的开头。为所有文件生成密钥。它保存在一个名为HWID的文本文件中,该文件被发送到托管在Tor网络上的C&C服务器,然后被删除。加密后,设备将关闭。在下次启动时,用户会看到对所发生事件的介绍以及有关攻击者的详细信息。本文翻译自:https://securelist.com/cis-ransomware/104452/如有转载请注明出处。
