频繁升级,勒索新变种不断涌现

发布时间 2022-07-22

在过去的几周里,FortiGuard Labs 观察到了几个新的勒索软件变体,这些变体在活动之后就获得了一定的关注度。不过对于勒索软件,这早已不是什么新鲜事,因为勒索软件就从未停止活动过,一直以来它对企业来说都是极具威胁的存在,一旦中招,受害者就有可能面临运营中断、机密信息被盗、赎金支付造成的金钱损失等,所以提高人们对勒索软件的认识还是非常有必要的。

为了让大家对市面上常见的勒索软件有基本的了解,本文收集了常见的勒索软件类型以及它们的发展,包括LockBit、BlueSky、Deno、RedAlert、Dark Web Hacker、Hive 和 Again 勒索软件等。

LockBit 勒索软件

LockBit是一种针对Windows和Linux的勒索软件。自 2019 年 12 月以来,它一直活跃。该勒索软件采用了勒索软件即服务 (RaaS) 模型,其运营商十分重视对LockBit勒索软件的开发,为此也同时开发了支持它的所有必要工具和基础设施,例如泄密站点和赎金支付门户。他们将这些解决方案提供给其他使用该勒索软件的分支机构(为使用他们的技术而付费的犯罪分子),甚至包括额外的服务,例如赎金谈判。

在执行实际攻击中,LockBit分支机构会将勒索软件感染并部署到目标中,作为回报,他们会获得受害者支付的20%的赎金。虽然根据运营商的规则是禁止分支机构在关键基础设施环境中加密文件,例如核电厂或天然气和石油行业,但却允许分支机构在不加密关键文件和/或这些组织的基础设施的情况下窃取数据。此外,分支机构也被禁止攻击前苏联国家。

在实施加密前,LockBit分支机构通常还会使用一种由LockBit 团伙开发的信息窃取工具“StealBit”来窃取目标设备里的数据,经勒索软件加密的文件通常具有“.lockbit”文件扩展名,同时该勒索软件还会在 Restore-My-Files.txt 中留下勒索信。LockBit的一些变体甚至还会用一条消息替换桌面墙纸,让受害者知道他们已经被勒索了。LockBit通常还会采用双重勒索策略,比如要求受害者用比特币支付赎金以恢复受影响的文件,并保证不会将被盗信息泄露给公众。

LockBit 3.0作为LockBit 2.0的升级于2022年3月首次亮相,该勒索软件在6月再次受到关注,因为该勒索软件团伙推出了一项“漏洞赏金”计划,奖励在1000美元至1,000,000美元之间,用于检测其产品中的缺陷和弱点。

BlueSky勒索软件

BlueSky 作为近期发现的一种勒索软件变种,它的一些勒索软件样本以“MarketShere.exe”和“SecurityUpdate.exe”的形式在线分发,在入侵目标之后,BlueSky会加密受感染机器上的文件,然后添加“.bluesky”文件扩展名。同时它还会在“#DECRYPT FILES BLUESKY #.txt”和“#DECRYPT FILES BLUESKY #.html”中放置勒索信,让要求受害者访问BlueSky TOR网站并按照提供的说明进行操作。

Deno勒索软件

这种新型勒索软件变种在加密目标设备文件后,也会给加密文件添加“.DENO”文件扩展名。同样,它也会在“readme.txt”中放置勒索信,信中提供了两个ProtonMail 电子邮件地址供受害者联系攻击者。目前没有太多信息关系该威胁行为者的最终索要的赎金以及他们的真正目的。

RedAlert

RedAlert也称为N13V,是7月初发现的一种新型勒索软件。它会影响 Windows 和 Linux VMWare (ESXi) 服务器。它不但会加密受感染机器上的文件,也会从中窃取数据。该勒索软件变种添加到受影响文件的一个报告文件扩展名是“.crypt658”,但这可能会因受害者而异。

和其他勒索软件相比,他们通常使用双重勒索策略,除了要求支付赎金以恢复受影响的文件,也会威胁受害者将其数据发布到网站供用户下载。为了迫使受害者及时支付赎金,威胁行为者还要求受害者在72小时内联系攻击者,否则攻击者会将部分被盗数据发布到他们的泄密站点。其他威胁包括对受害者发起分布式拒绝服务 (DDoS) 攻击,以及给受害者的员工打电话等等。

Dark Web Hacker

在入侵目标之后,Dark Web Hacker先加密受感染机器上的文件,并将“.[4 个随机字符}”附加到目标文件和文件名的末尾,然后在“read_it.txt”中留下勒索信,其中包含攻击者的联系电子邮件地址和比特币地址,该勒索组织要求的赎金是价值3,000美元的比特币。他们还曾将受害者的桌面壁纸替换为他们自己的壁纸,比如一个比特币二维码,以方便受害者快速支付赎金。

Hive

Hive勒索软件近期的活跃度有点高,它是另一种勒索软件即服务 (RaaS),它不但加密受害者设备上的文件,还会窃取数据,并要求用户支付费用以恢复受影响的文件,否则被加密的数据就会被泄露在该勒索组织被称为“HiveLeaks”的站点上。

这个臭名昭著的勒索软件曾经就严重影响了哥斯达黎加的公共卫生系统,据报道,该系统曾被Hive勒索软件入侵并遭到破坏。经研究,该勒索软件的最新版本是用Rust编程语言编写的,而旧版本的变体是用Go编写的,好在目前其解密工具已推出。

Again

Again可能起源于Babuk,它与Babuk共享相同的源代码(其整个源代码于 2021 年泄露),你甚至可以把其视为Babuk变体的一个分支。Again 勒索软件会寻找要加密的文件并将“.again”附加到文件名中,使用户无法打开这些文件。受害者会看到一个名为“如何恢复您的文件.txt”的文本文件,上面留有联系威胁行为者的网站信息,在该网站上,在该页面,受害者可以发消息给威胁行为者以通过支付赎金换取文件。

要不要支付赎金

当遭遇勒索软件之后,用户要不要支付赎金?CISA、NCSC、FBI和HHS等组织给了我们答案,部分原因是即便支付之后也不能保证文件会被恢复。根据美国财政部外国资产控制办公室 (OFAC) 的建议,支付赎金还可能鼓励这些勒索组织针对其他企业继续发起勒索攻击,也变相为这些不法分子提供了实施其他不法活动的资金。