2023勒索趋势之模糊的家族界限

尊龙凯时·人生就是博(中国区)官方网站

数字经济的安全基石

首页 > 关于我们 > 安恒动态 > 2023 > 正文

2023勒索趋势之模糊的家族界限

阅读量:文章来源:尊龙凯时-人生就是搏!


01

勒索态势日趋复杂


勒索软件攻击已经成为全球网络空间安全面临的重大威胁和挑战。

相较于2022年,2023年的勒索威胁态势逐渐复杂,新型勒索软件家族和攻击事件频发。

仅2023年上半年,全球披露的勒索攻击事件达2000多次,同比去年有较大增长。其中LockBit、Clop和BlackCat是今年迄今为止最为多产和活跃的勒索家族,受害者众多。

例如,2023年6月,LockBit入侵了某全球知名芯片公司的IT硬件供应商之一,并从中窃取了公司信息。随后,LockBit向该公司索要高达7千万美元的赎金,否则公开被盗数据。

Clop勒索组织在上半年利用多个0day漏洞,攻击了数百个组织,窃取并售卖包括美国能源部等在内的多家大型组织和机构的数据,名噪一时。

除了在攻击声势上愈发猖獗,勒索软件生态在攻防博弈中也不断地发展、创新和融合。

一方面,勒索组织将目标扩大到包括Linux、VMwareESXi、MacOS等在内的多个架构平台。2023年出现了不少针对Linux/VMwareESXi的勒索家族及其变体,例如ESXiArgs,Akira、Cyclops等,其中Cyclops拥有针对包括Windows,Linux和MacOS系统在内三种主流操作系统的勒索软件开发能力。

另一方面,随着勒索生态不断丰富和相关网络犯罪的盛行,一些勒索组织所使用的工具甚至源代码逐渐被公开和流转。尤其近2年来包括Conti、Babuk和LockBit等知名勒索组织泄露的源码和构建器,使得勒索开发门槛进一步降低。


基于此类源码和构建器产生的新型勒索组织层出不穷,使得判定勒索组织/家族更为复杂,勒索家族之间越来越难以有清晰的界限。

以下我们将分析2023年观察到的部分新勒索家族样本,从中探寻勒索生态的演变趋势。


02

潘多拉魔盒的开启:Babuk勒索泄露


2021年9月,Babuk小组的一名成员在某个俄语黑客论坛上声称自己患有晚期癌症,并发布了Babuk勒索软件的完整源代码。

Babuk Locker又称Babyk,是2021年1月开始运营的勒索软件。泄露的信息涵盖创建功能性勒索软件可执行文件所需的所有内容,包含适用于Windows、Linux/VMware ESXi和NAS加密器在内的三个Visual Studio项目。

经此事件后,陆续有发现基于Babuk的源码所构建的新型勒索家族,尤其是针对Linux/VMwareESXi的勒索家族样本。

2023年3月,猎影实验室发现一种自称CylanceRansomware的新型勒索家族。该勒索可以快速加密文件并添加扩展名.Cylance,在目录下放置勒索信文件CYLANCE_README.txt。

CylanceRansomware其拥有Windows和Linux两种变体,经分析Linux变体是复用Babuk的源代码改造开发而来。

对比Babuk的Linux/VMware ESX源码,例如在文件遍历的函数部分,其结构一致,函数名相同,替换了勒索信名称和需要比较的扩展名



2023年9月,Ragnar Locker的Linux变体样本被披露,发现其同样是基于Babuk代码构建,伪代码比较如下图所示。



Babuk的源码泄露,给勒索软件犯罪团伙们提供了极大地帮助,尤其那些尚未成熟的勒索团伙,通过Babuk的源码可以进一步完善和丰富勒索软件的功能开发,催生出大量此前未出现的新型勒索家族。


03

被滥用的犯罪工具:LockBit构建器


LockBit毫无疑问是勒索软件发展史上具有里程碑式的勒索组织,也是目前的勒索生态中顶级的RaaS勒索集团。

LockBit,曾用名为ABCD勒索软件,自2020年1月以来,使用LockBit的附属公司攻击了一系列关键基础设施领域的不同规模的组织。

该勒索历年来经过多次变体,尤其2022年6月发布的LockBit3.0版本的加密器,使用包括参数密码、随机加密可执行文件等多种保护技术避免被检测和分析,此外该组织还引入漏洞赏金计划邀请安全研究人员提交漏洞报告。

2022年9月,两个不同版本的LockBit构建器被公布,其拥有用于构建所有文件的批处理文件、可自定义的配置文件、密钥生成程序等,能够生成各种DLL和EXE格式的加密器和解密器。



在泄露事件发生后不久,安全研究人员发现勒索组织Bl00dy使用该构建器开发了属于自己的勒索程序,其拥有自身独特的勒索信风格和联系渠道。

在2023年,使用LockBit构建器的勒索团伙逐渐增多,对于小型勒索组织,技术能力较低的并不会对构建器进行大规模改造,加密图标、甚至背景桌面都可能沿用原有的LockBit风格。

而对于一些富有创新和技术能力的勒索组织,则会进行一定程度的定制化开发,包括加密图标、桌面背景、勒索信等,甚至还拥有自己的暗网联系渠道。

猎影实验室近期发现多个基于LockBit构建器的新型勒索家族,例如SOLEENYARansomware,该勒索对构建器进行了自定义的改造,有着不同于LockBit勒索的勒索信内容和暗网联系渠道。

下图为安恒云沙箱勒索场景化分析的家族信息,从勒索信中自称为SOLEENYARansomware,以及拥有自定义的Tor网站可以表明其背后勒索组织的独立性。



将SOLEENYA与LockBit3.0以往样本进行分析比较,可以看出勒索信格式都为“后缀名.README.txt”,其次两者在代码结构上类似,例如在API的获取方法上基本一致。



与此类似的还有Blackout勒索家族样本,勒索信同样具有独特的风格。



这类基于LockBit构建器所开发的勒索样本,编译时间都为2022-09-13 23:30:57 UTC,而且在VT中的文件名往往含有“LB3”字样,这与构建器生成的文件名类似。



LockBit构建器的泄露,一方面使得一些低技术、小成本的犯罪团伙可以快速开发出自己的勒索程序,灵活配置形成自定义的风格。另一方面,具有较强创新能力的中大型勒索组织同样可以利用构建器增强自身,进一步提高逃避检测和抗分析能力。


04

难以分辨的混沌:Chaos构建器


2021年,安全研究人员发现一款名为Chaos的勒索软件构建器在地下论坛中分发出售,一开始的V1版本不具备解密能力,更类似于破坏性的数据擦除器。随着版本的迭代,目前的Chaos具有了一般勒索的加解密能力,并且实现了在内网中扩散,更改桌面背景等功能。

Chaos勒索是在.NET平台上开发的一款勒索软件,运行后会检查是否是管理员权限,并且将程序复制在用户目录下,名称更改为“svchost.exe”此类伪装成正常的进程。



在加密前执行删除卷影副本、删除备份、禁止自启动修复的命令操作。



Chaos勒索加密后缀为随机的4个字符,采用AES/RSA的加密组合。



勒索信名称一般为read_it,勒索信内容如下:



在2023年,我们发现了一系列由Chaos勒索构建器生成的勒索样本,它们往往只更改了一些数据信息,例如壁纸图片、勒索信内容以及联系渠道、比特币地址等,而在代码和功能上与原有的Chaos勒索保持了一致。

Apocalipse勒索:


NIGHTCROW勒索:


此类勒索一般使用比特币作为赎金支付的手段,往往没有像中大型勒索组织那样建立tor博客和数据泄露网站,而是通过匿名服务进行联系,例如匿名邮箱、TG和TOX等。



05

思考总结


无论是泄露的源码/构建器还是在黑市出售的定制化勒索开发工具,都在助长勒索软件攻击嚣张气焰。

猎影实验室专家表示在全球经济形势低迷和政治局势动荡的背景下,可能会出现更多网络犯罪组织和集团,尤其受到巨大利润的吸引,勒索软件攻击可能会持续增加。

对于勒索组织而言,现成的源码和构建器能够节省大量的开发成本和精力,使得他们更专注于如何隐蔽地进行攻击和窃密,并且扩大影响,达到掠取赎金的目的。

源码和构建器的滥用也给勒索攻击的检测和防御带来挑战。勒索家族的界定逐渐变得模糊,一种新的勒索样本很可能参考和沿用了多个勒索家族的代码和功能,这增加了对此类攻击的准确识别和及时防范的难度。

因此,必须改进和加强勒索软件攻击的监测技术和防御机制,加强信息共享与合作,提高对勒索软件攻击的理解和研究,及时更新防御工具和策略,以确保网络安全并保护用户的数据免受勒索软件攻击的威胁。


防范建议

1.  及时备份重要数据。

2.  不随意打开来源不明的程序。

3.  不访问未知安全性的网站等。

4.  使用合格的安全产品

5.  定期检查系统日志中是否有可疑事件

6.  重要资料的共享文件夹应设置访问权限控制,并进行定期离线备份, 关闭不必要的文件共享功能

7.  不要轻信不明邮件,提高安全意识

目前安全数据部已具备相关威胁检测能力,对应产品已完成IoC情报的集成。


尊龙凯时-人生就是搏!产品已集成能力:


针对该事件中的最新IoC情报,以下产品的版本可自动完成更新,若无法自动更新则请联系技术人员手动更新:

1.  AiLPHA分析平台V5.0.0及以上版本

2.  AiNTA设备V1.2.2及以上版本

3.  AXDR平台V2.0.3及以上版本

4.  APT设备V2.0.67及以上版本

5.  EDR产品V2.0.17及以上版本


尊龙凯时-人生就是搏!再次提醒广大用户,请谨慎对待互联网中来历不明的文件,如有需要,请上传至安恒云沙箱https://sandbox.momafs.com,进行后续判断。

安恒云沙箱反馈与合作请联系:sandbox@momafs.com


参考文献


1. https://www.sentinelone.com/labs/hypervisor-ransomware-multiple-threat-actor-groups-hop-on-leaked-babuk-code-to-build-esxi-lockers/

2. https://www.trendmicro.com/vinfo/us/security/news/ransomware-by-the-numbers/lockbit-blackcat-and-clop-prevail-as-top-raas-groups-for-1h-2023

3. https://www.trendmicro.com/en_us/research/21/h/chaos-ransomware-a-dangerous-proof-of-concept.html



往期精彩回顾




以管促用,看尊龙凯时-人生就是搏!如何助力商用密码应用建设

2023-11-21

范渊荣获“2023中国上市公司口碑榜社会责任先锋人物奖”

2023-11-20

中国品牌500强!尊龙凯时-人生就是搏!再获荣誉

2023-11-19


关闭

客服在线咨询入口,期待与您交流

线上咨询
尊龙凯时-人生就是搏!

咨询电话:400-6059-110

产品试用

即刻预约免费试用,我们将在24小时内联系您

微信咨询
尊龙凯时-人生就是搏!联系方式
网站首页
尊龙凯时-人生就是搏!
<44 id="lbymof"><9928 id="folzlb"><0j6 class="irksa"><84 id="zfwuss"><4k class="ssvfu"><99439 id="shcxzd"><149 id="zdyopc"><2f class="lmlpb"><64 id="mvqtxg"><33 id="vvumrf"><5uj class="hjzij"><518 id="lpmomq"><1ixm class="eqann"><99 id="qkvswu"><754 id="tvgxku"><3547 id="sfkbqe"><329 id="ndpahn"><97 id="vtavtv"><319 id="nosomx"><54 id="rkqeyz"><2jge9 class="tbaga"><765 id="pxakgw"><72 id="pgxlfe"><6ycbc class="cxvrm"><48 id="xvlpjs"><521 id="jozues"><1p class="hbkuw"><53997 id="ymddap"><5558 id="hryuze"><11942 id="utubnu"><1q class="echnq"><95492 id="jriwjg"><7bdp class="vkpnc"><49 id="arbiqj"><9818 id="mhaunm"><778 id="wwhjon"><97 id="wgdels"><2826 id="lmzwcu"><318 id="vjvavd"><23 class="jjsee"><37235 id="lyowws"><11819 id="cmjvyp"><51 id="qcguat"><3h class="laocp"><7843 id="eirzrd"><476 id="opzkxr"><877 id="zaasds"><697 id="vrnpnk"><1445b class="kupte"><688 id="gwxodq"><95617 id="kmqcpq"><66787 id="ylctuz"><87z class="qkikx"><82 id="twntay"><352 id="zvpazr"><453 id="kswzqz"><7d8 class="difrs"><35763 id="salphb"><6796 id="siwvuc"><9439 id="mrlihe"><19 class="vaiwt"><52599 id="ouzmah"><64429 id="quwilf"><7772 id="nqhptd"><566 id="qcfppw"><427 id="hpbess"><17u class="ebuky"><82 id="piwgyq"><23 id="tylxfg"><26 id="vbceet"><6k class="dhlqj"><21771 id="bnohyl"><1toxi class="jpzdi"><581 id="unmokg"><32 class="vnwzo"><4459 id="gqpwny"><4592 id="puhdag"><696 id="yljlua"><99 id="apydsb"><67914 id="xpjzqn"><315 id="xeemjg"><877 id="wqquku"><59z class="sfume"><76181 id="zspnto"><3559 id="tjriqb"><9445 id="ausrpw"><3ts class="adqaf"><17 id="ernynf"><23281 id="uckrcj"><4wr class="srljs"><4212 id="gziwdy"><164 id="qdspls"><555 id="kegzce"><7v class="kfqhc"><27 id="qihtdc"><156 id="hnwdyd"><1na class="bolzo"><95 id="tradzn"><0i6ho class="diprm"><14 id="lvvrhv"><298 id="ezcryn"><818 id="hanvkl"><322 id="tjobah"><8e class="zzsfd"><9177 id="okblwk"><15833 id="hmlfch"><485 id="mwvrkr"><63951 id="xuavsx"><13459 id="btnprj"><77t class="oazek"><37933 id="ofgqyt"><6s44 class="pvlnw"><499 id="iempgd"><9p class="fvfsn"><736 id="ruchsp"><3j class="jlfgr"><25147 id="weojux"><18 id="qvzupm"><73jzc class="zswmj"><853 id="vkwevz"><47933 id="nzuvqq"><1o class="uymvt"><226 id="jewdqq"><51214 id="kqwwpn"><235 id="iqofhu"><5472 id="tetutr"><887 id="mmydjz"><96 id="erbmiz"><7843 id="gqhvmr"><336 id="qirjtj"><1811 id="fjtpvc"><163 id="hvafqt"><12816 id="ghukqc"><7lzer class="qmgva">