近日，Palo Alto Networks公司Unit 42的最新研究已經(jīng)確定了4個(gè)新興勒索軟件組織，并表示未來它們完全有潛力成為更大的麻煩。這些組織分別為Avoslocker、Hive Ransomware、Hellokitty以及Lockbit 2.0。

[[420121]]

新興勒索軟件威脅組織

安全公司Palo Alto Networks在其最新報(bào)告《值得注意的勒索軟件組織：新興威脅》中表示，

“隨著REvil以及Darkside等主要勒索軟件組織瓦解或重組以逃避執(zhí)法機(jī)構(gòu)和媒體的目光，新群體將不斷涌現(xiàn)，以取代那些不再積極鎖定受害者的組織。”

在該研究中，威脅情報(bào)分析師Doel Santos以及主要威脅研究人員Ruchna Nigam就4個(gè)勒索軟件組織的行為進(jìn)行了詳細(xì)闡述。

AvosLocker

AvoSlocker首次出現(xiàn)于2021年7月，它是一個(gè)“勒索軟件即服務(wù)”(RaaS)組織，由Avos控制，主要通過暗網(wǎng)討論論壇Dread宣傳其服務(wù)。其贖金通知中包括用于識(shí)別受害者的信息和ID，以及指導(dǎo)感染者訪問Avoslocker Tor站點(diǎn)進(jìn)行恢復(fù)和數(shù)據(jù)復(fù)原的指南。該研究指出，AvoSlocker的贖金要求從50,000美元到75,000美元(以門羅幣形式)不等，并且已經(jīng)在全球7個(gè)組織中發(fā)現(xiàn)了感染案例。

Hive Ransomware

研究稱，Hive Ransomware于2021年6月開始運(yùn)營(yíng)，主要針對(duì)醫(yī)療保健組織以及其他配置薄弱無法抵御網(wǎng)絡(luò)攻擊的企業(yè)。該組織在其泄露網(wǎng)站Hive Leaks上公布了首個(gè)受害者信息后，又陸續(xù)發(fā)布了另外28個(gè)受害者的詳細(xì)信息。研究人員稱，

“當(dāng)執(zhí)行該勒索軟件時(shí)，它會(huì)drop兩個(gè)批處理腳本，第一個(gè)腳本hive.bat會(huì)嘗試刪除自身，而第二個(gè)腳本負(fù)責(zé)刪除系統(tǒng)的影子副本(Shadow.bat)。Hive RansomWare將[隨機(jī)字符].hive extension添加到加密文件中并留下標(biāo)題為‘HOW_TO_DECRYPT.txt’的贖金通知，其中包含防止數(shù)據(jù)丟失的說明和操作指南。”

受害者通過贖金通知中的操作指南與攻擊者討論解密細(xì)節(jié)。研究人員無法確定該勒索軟件的確切交付方式，但他們認(rèn)為諸如憑證暴力破解或魚叉式釣魚等傳統(tǒng)手段應(yīng)該都有發(fā)揮作用。

HelloKitty：Linux版本勒索軟件

Hellokitty家族最早出現(xiàn)于2020年，主要針對(duì)Windows系統(tǒng)。它以使用Hellokittyex而得名。2021年，Palo Alto檢測(cè)到一個(gè)Linux(ELF)樣本，名為“funny_linux.elf”其中包含一個(gè)贖金通知，該贖金通知的措辭與之后發(fā)現(xiàn)的HelloKitty for Windows樣本相匹配。3月份，該勒索軟件組織開始瞄準(zhǔn)ESXi，這也是最近Linux勒索軟件變體的選擇目標(biāo)。研究人員表示，

“奇怪的是，攻擊者在不同樣本的贖金通知中共享的首選通信模式是Tor URL和特定于受害者的ProtonMail電子郵件地址間的混合。這可能表示不同的攻擊活動(dòng)甚至完全不同的威脅行為者使用了相同的惡意軟件代碼庫(kù)。”

研究觀察到，該勒索軟件組織使用橢圓曲線數(shù)字簽名算法(ECDSA)加密文件，而從該團(tuán)體觀察到的最高贖金要求為1000萬美元(以門羅幣形式)。

LockBit 2.0

LockBit 2.0以前名為ABCD ransomware，同樣是以勒索軟件即服務(wù)(RssS)模式運(yùn)行的組織。雖然早在2019年就開始活躍，但Palo Alto最近發(fā)現(xiàn)其攻擊方法已經(jīng)發(fā)生了變化，而且其運(yùn)營(yíng)者還聲稱，他們當(dāng)前的變體是操作中最快的加密軟件。自6月以來，該組織已經(jīng)攻擊了全球52個(gè)組織。研究人員表示，

“威脅行為者在泄漏網(wǎng)站上的所有帖子中都放置了倒計(jì)時(shí)，直到保密信息發(fā)布給公眾，這為受害者制造了額外的壓力。”

一旦執(zhí)行操作，Lockbit 2.0就會(huì)立即開始文件加密并附加.lockbit擴(kuò)展。加密完成后，標(biāo)題為Restore-My-files.txt的贖金通知會(huì)告知受害者攻擊事實(shí)并提供有關(guān)解密步驟的建議。

參考：csoonline