最危险的四大新兴勒索软件
随着全球执法部门对勒索软件打击力度持续加大,很多老牌勒索软件组织,例如Revil和Darkside纷纷保持低调,改弦更张以求逃避执法和媒体的关注,但与此同时,大量新兴勒索软件正在快速涌现并快速“成长”。
近日,Palo Alto Networks的Unit 42安全团队调查研究了四个新兴的,未来极具威胁的勒索软件组织,它们分别是:AvosLocker、Hive Ransomware、HelloKitty和LockBit 2.0。
01
AvosLocker
2021年7月首次观察到,AvosLocker在勒索软件即服务(RaaS)模型中运行,并由avos控制,后者在暗网讨论论坛Dread上宣传其服务。其赎金记录包括用于识别受害者的信息和ID,指示受感染者访问AvosLocker Tor站点以进行恢复和数据恢复。AvosLocker接受门罗币支付赎金,要价在5万美元到7.5万美元之间。全球已经有七个组织报告遭受AvosLocker的攻击。
02
Hive Ransomware
Hive Ransomware于2021年6月开始运营,主要针对医疗机构和其他网络防御能力较差的企业。不久前,该组织在其泄密网站Hive Leaks上发布了第一个受害者的信息,然后又发布了另外28名受害者的详细信息。“当这个勒索软件被执行时,它会丢弃两个批处理脚本,”研究人员写道。“第一个脚本hive.bat尝试删除自身,第二个脚本负责删除系统的卷影副本(shadow.bat)。Hive勒索软件向加密文件添加了随机字符.hive扩展名,并删除了一个名为HOW_TO_DECRYPT.txt的赎金通知,其中包含防止数据丢失的说明和指南。”
受害者通过赎金票据联系攻击者讨论解密。研究人员无法具体说明勒索软件的确切投送方法,但初步判断是使用传统手段,例如凭证暴力破解或鱼叉式网络钓鱼。
03
HelloKitty:Linux版
HelloKitty家族于2020年浮出水面,主要针对Windows系统。它的名字来源于它对 HelloKittyMutex的使用。2021年,Palo Alto检测到一个名为funny_linux.elf的Linux(ELF)样本,其中包含一个赎金通知,其中的措辞直接匹配了后来的HelloKitty for Windows样本中的赎金通知。发现了更多样本,并于3月开始针对ESXi,这是最近Linux勒索软件变体的首选目标。
研究人员写道:“奇怪的是,攻击者在不同样本的赎金通知中共享的首选通信方式是Tor URL Protonmail电子邮件。”“这可能意味着不同攻击活动或者攻击者使用了相同的恶意软件代码库。”尽管HelloKitty的攻击者接受比特币付款,但也检测到以门罗币支付的高达1000万美元的赎金要求。该勒索软件使用椭圆曲线数字签名算法(ECDSA)加密文件。
04
LockBit 2.0
LockBit 2.0以前称为ABCD勒索软件,是另一个采用RaaS模式的组织,2019年才开始运营。Palo Alto发现了该勒索软件演变速度很快,当前的变体是运行最快的加密软件。自6月以来,该组织已经攻击了52个全球组织。研究人员写道:“威胁行为者在其泄密网站上发布的所有帖子都包括倒计时,直到机密信息向公众公布,这对受害者造成了额外压力。”执行后,LockBit 2.0开始文件加密并附加.lockbit扩展名。加密完成后,名为“Restore-My-Files.txt”的赎金通知会通知受害者,并提供有关解密步骤的建议。