[[424021]]

近期發(fā)現(xiàn)四個(gè)新興勒索軟件組織：AvosLocker、Hive、HelloKitty、LockBit 2.0。它們活動(dòng)頻繁，未來(lái)可能造成更大的影響。

• AvosLocker于6月底開(kāi)始活動(dòng)，其標(biāo)志性圖標(biāo)為藍(lán)色甲蟲(chóng);
• Hive是一種雙重勒索勒索軟件，于6月份開(kāi)始活動(dòng)，目前已經(jīng)影響了28家組織;
• HelloKitty最早可追溯到2020年，主要針對(duì)Windows系統(tǒng)，在今年7月份，HelloKitty的Linux變體開(kāi)始針對(duì)VMware的ESXi hypervisor;
• LockBit 2.0與一些引人注目的攻擊事件有關(guān)，影響了多個(gè)行業(yè)，目前已有52名受害者，接下來(lái)本文將會(huì)對(duì)這些勒索軟件進(jìn)行詳細(xì)分析。

AvosLocker

AvosLocker是一種全新的勒索軟件，于2021年7月4日首次被發(fā)現(xiàn)，其遵循RaaS模型，同名勒索軟件運(yùn)營(yíng)商avos在暗網(wǎng)發(fā)布了廣告，內(nèi)容包括勒索軟件功能等信息。

AvosLocker在執(zhí)行時(shí)首先打開(kāi)一個(gè)Windows shell，顯示加密過(guò)程的進(jìn)度。加密完成后會(huì)將.avos擴(kuò)展名附加到加密文件中，并在每個(gè)加密目錄中放置贖金便箋GET_YOUR_files_BACK.TXT。

加密后文件：

AvosLocker TOR網(wǎng)站：

提交ID后，受害者將被索取贖金，贖金最低50000美元，最高75000美元。與其他勒索軟件組一樣，如果受害者沒(méi)有在指定時(shí)間內(nèi)支付，AvosLocker會(huì)提高勒索價(jià)格。

目前他已經(jīng)影響了七個(gè)組織：兩個(gè)律師事務(wù)所，一個(gè)在英國(guó)，一個(gè)在美國(guó);西班牙的一家物流公司;比利時(shí)的一家房地產(chǎn)公司;土耳其的一家公司;敘利亞交通組織和一個(gè)美國(guó)城市。

Hive

Hive勒索軟件于2021年6月開(kāi)始運(yùn)營(yíng)，攻擊的組織包括醫(yī)療服務(wù)提供商和一些中型組織，這些組織缺乏抵御勒索軟件攻擊的能力。Hive網(wǎng)站上公布了28名受害者，其中包括一家歐洲航空公司和三家美國(guó)機(jī)構(gòu)，硬件零售、制造和法律部門(mén)。

勒索軟件執(zhí)行時(shí)，它會(huì)下載兩個(gè)批處理腳本，hive.bat嘗試刪除自身，第二個(gè)腳本shadow.bat負(fù)責(zé)刪除系統(tǒng)的卷副本。Hive ransomware將[Randomic characters].Hive擴(kuò)展添加到加密文件中，并留下名為HOW_to_DECRYPT.txt的勒索說(shuō)明。

贖金通知中提供的登錄憑據(jù)是針對(duì)特定受害者的。登錄后，受害者可與Hive組織交談并獲取解密程序。

HelloKitty

HelloKitty于2020年底首次出現(xiàn)，主要針對(duì)Windows系統(tǒng)。2021年7月，發(fā)現(xiàn)了一個(gè)名為fully_Linux.ELF的Linux(ELF)示例，可追溯到2020年10月，從今年3月開(kāi)始，樣本開(kāi)始瞄準(zhǔn)ESXi。

六家受Hello Kitty影響的機(jī)構(gòu)，包括意大利和荷蘭制藥機(jī)構(gòu)、一家德國(guó)制造商、一家澳大利亞工業(yè)自動(dòng)化解決方案機(jī)構(gòu)、一家美國(guó)醫(yī)療機(jī)構(gòu)和一家股票經(jīng)紀(jì)人。贖金爭(zhēng)論高達(dá)1000萬(wàn)美金，最低95萬(wàn)美金，同時(shí)支持BTC支付。

Linux HelloKitty勒索軟件參數(shù)：

LockBit 2.0

LockBit遵循RaaS模型，自2019年9月開(kāi)始活躍，最近升級(jí)到了LockBit 2.0。自2021年6月以來(lái)，他們?cè)诎⒏?、澳大利亞、奧地利、比利時(shí)、巴西、德國(guó)、意大利、馬來(lái)西亞、墨西哥、羅馬尼亞、瑞士、英國(guó)和美國(guó)進(jìn)行勒索活動(dòng)。官網(wǎng)會(huì)有受害者文件解密發(fā)布倒計(jì)時(shí)，從而給所有受害者施壓。

攻擊者聲稱(chēng)他們的軟件是就目前運(yùn)行最快的加密軟件。

執(zhí)行LockBit時(shí)，它開(kāi)始加密文件并附加.LockBit擴(kuò)展名，將加密文件的圖標(biāo)更改為L(zhǎng)ockBit 2.0徽標(biāo)，加密完成后留下名為Restore-My-Files.txt的贖金說(shuō)明。

如果加密成功，LockBit 2.0勒索軟件會(huì)修改受害者的桌面壁紙：

官網(wǎng)受害者登錄界面：

IOC

(1) AvosLocker

43b7a60c0ef8b4af001f45a0c57410b7374b1d75a6811e0dfc86e4d60f503856

fb544e1f74ce02937c3a3657be8d125d5953996115f65697b7d39e237020706f

3984968230c96d52d78af1905ea1b224e7de36776a6af398a0462321f3c22020

01792043e07a0db52664c5878b253531b293754dc6fd6a8426899c1a66ddd61f

(2) Hive Ransomware

A0b4e3d7e4cd20d25ad2f92be954b95eea44f8f1944118a3194295c5677db749

1e21c8e27a97de1796ca47a9613477cf7aec335a783469c5ca3a09d4f07db0ff

Fdbc66ebe7af710e15946e1541e2e81ddfd62aa3b35339288a9a244fb56a74cf

88f7544a29a2ceb175a135d9fa221cbfd3e8c71f32dd6b09399717f85ea9afd1

(3) Hello Kitty (Linux)

16a0054a277d8c26beb97850ac3e86dd0736ae6661db912b8782b4eb08cfd36e

556e5cb5e4e77678110961c8d9260a726a363e00bf8d278e5302cb4bfccc3eed

9f82f22c137688d0b3e7912d415605d2bbc56478311fd0b3dc265f8d0006aa8c

8f3db63f70fad912a3d5994e80ad9a6d1db6c38d119b38bc04890dfba4c4a2b2

bedf30bbcefc54bc48432674255856f47c0ba2ec46e913d078a53e66ac9dcff8

Ca607e431062ee49a21d69d722750e5edbd8ffabcb54fa92b231814101756041

b4f90cff1e3900a3906c3b74f307498760462d719c31d008fc01937f5400fb85

(4) Lockbit 2.0

F32e9fb8b1ea73f0a71f3edaebb7f2b242e72d2a4826d6b2744ad3d830671202

4de287e0b05e138ab942d71d1d4d2ad5fb7d46a336a446f619091bdace4f2d0a

F3e891a2a39dd948cd85e1c8335a83e640d0987dbd48c16001a02f6b7c1733ae

Ea028ec3efaab9a3ce49379fef714bef0b120661dcbb55fcfab5c4f720598477

Bcdb59232137e570d4afb3c635f8df19ceb03e3f57fe558f4fc69a0be778c6ab

原文鏈接：unit42