寫在前面的話

勒索軟件LostTrust一直被安全社區(qū)認(rèn)為是MetaEncryptor勒索軟件的“換殼”產(chǎn)品，因?yàn)樗鼈儙缀跏褂昧讼嗤臄?shù)據(jù)泄露網(wǎng)站和加密程序。

LostTrust勒索軟件于2023年3月開始積極活動(dòng)，并攻擊了多個(gè)企業(yè)和組織，但直到9月份才被廣大研究人員所知曉，因?yàn)樵诮衲甑?月份，LostTrust勒索軟件背后的“始作俑者”才開始在數(shù)據(jù)泄露網(wǎng)站上發(fā)布相關(guān)的數(shù)據(jù)泄露信息。

到目前為止，該數(shù)據(jù)泄露網(wǎng)站泄露的信息已經(jīng)影響了全球范圍內(nèi)至少53個(gè)企業(yè)和組織，而其中的部分組織因?yàn)榫芙^支付數(shù)據(jù)贖金，從而導(dǎo)致他們的數(shù)據(jù)被泄露了出來。

目前，我們還不知道LostTrust勒索軟件背后的攻擊者是否只會(huì)針對(duì)Windows設(shè)備實(shí)施勒索軟件攻擊，同時(shí)也無法確定是否使用了Linux加密程序。

真的是MetaEncryptor換個(gè)名字卷土重來了嗎？

MetaEncryptor勒索軟件家族，從2022年8月份“浮出水面”，截止至2023年7月份，其數(shù)據(jù)泄露網(wǎng)站上已出現(xiàn)了12個(gè)受影響的企業(yè)和組織，但至此之后該網(wǎng)站就再也沒有出現(xiàn)過新的受影響組織了。

就在今年的10月份，LostTrust勒索軟件組織又上線了一個(gè)新的數(shù)據(jù)泄露網(wǎng)站，而網(wǎng)絡(luò)安全專家Stefano Favarato通過分析后就發(fā)現(xiàn)，這個(gè)新上線的數(shù)據(jù)泄露網(wǎng)站跟MetaEncryptor當(dāng)初所使用的數(shù)據(jù)泄露網(wǎng)站有著相同的模版和簡(jiǎn)介信息。

MetaEncryptor和LostTrust都在其數(shù)據(jù)泄露網(wǎng)站上的描述中寫道了下列內(nèi)容：

“我們是一群年輕的網(wǎng)絡(luò)安全領(lǐng)域中的專家，并且擁有至少15年的從業(yè)經(jīng)驗(yàn)。這個(gè)博客和我們的產(chǎn)品僅供商業(yè)用途，我們與其他任何機(jī)構(gòu)或當(dāng)局沒有任何的關(guān)系?！?/p>

研究人員還發(fā)現(xiàn)，LostTrust [ VirusTotal ] 和 MetaEncryptor [ VirusTotal ] 所使用的加密程序幾乎是相同的，而且只是在勒索信息、嵌入式公共密鑰、勒索信息文件名稱和加密文件擴(kuò)展名方面進(jìn)行了一些微調(diào)而已。

除此之外，網(wǎng)絡(luò)安全研究團(tuán)隊(duì)MalwareHunterTeam表示，LostTrust和MetaEncryptor都是基于SFile2勒索軟件加密器實(shí)現(xiàn)的，而Intezer的分析和掃描也進(jìn)一步證實(shí)了這一點(diǎn)，并發(fā)現(xiàn)LostTrust使用了大量的SFile加密器代碼。

由于這兩個(gè)程序之間存在著大量的相同之處和代碼重疊，因此安全社區(qū)也普遍認(rèn)為L(zhǎng)ostTrust只是MetaEncryptor勒索軟件換了個(gè)名字罷了。

LostTrust 加密程序分析

我們?cè)趯?duì)LostTrust所使用的加密程序樣本進(jìn)行分析之后，發(fā)現(xiàn)了下列內(nèi)容。

攻擊者可以使用兩個(gè)可選的命令行參數(shù)來啟動(dòng)加密程序，即--onlypath（加密一個(gè)指定路徑）和 --enable-shares（加密網(wǎng)絡(luò)共享）。

啟動(dòng)之后，加密程序會(huì)打開一個(gè)控制臺(tái)終端，并顯示當(dāng)前的加密過程和狀態(tài)：

請(qǐng)大家注意上圖加密程序中的“METAENCRYPTING”字符串，這也表明它就是修改后的MetaEncryptor加密程序。

在執(zhí)行過程中，LostTrust 將禁用并停止大量 的Windows 服務(wù)，以確保所有文件都可以加密，包括任何包含 Firebird、MSSQL、SQL、Exchange、wsbex、postgresql、BACKP、tomcat、SBS 和 SharePoint 字符串的服務(wù)。除此之外，加密程序還將禁用和停止與 Microsoft Exchange 相關(guān)的其他服務(wù)。

在加密文件時(shí)，加密程序還會(huì)將.losttrustencoded 擴(kuò)展名附加到加密文件的名稱中：

接下來，LostTrust勒索軟件會(huì)在目標(biāo)設(shè)備上的每一個(gè)被加密的文件夾中創(chuàng)建一個(gè)名為“!LostTrustEncoded.txt”的勒索軟件信息文件，而且攻擊者還會(huì)在勒索信息中聲稱自己以前是白帽黑客，但是因?yàn)槭杖胛⒈。蛻粽J(rèn)為漏洞嚴(yán)重程度非常低，所以報(bào)酬低），所以才會(huì)做勒索軟件攻擊這樣的事情。

這些勒索軟件信息包含了跟受影響組織被加密文件的相關(guān)信息，以及一個(gè)指向了跟攻擊者談判的Tor網(wǎng)站地址。但這個(gè)Tor談判網(wǎng)站制作的非常簡(jiǎn)陋，只有一個(gè)聊天功能，可以給受影響組織跟LostTrust勒索軟件團(tuán)伙進(jìn)行談判。

據(jù)悉，LostTrust勒索軟件攻擊所要求的數(shù)據(jù)贖金從10萬美元到數(shù)百萬美元不等。

使用數(shù)據(jù)泄露網(wǎng)站來威脅和震懾目標(biāo)組織

跟其他的勒索軟件攻擊活動(dòng)一樣，LostTrust也利用了Tor數(shù)據(jù)泄露網(wǎng)站來威脅和震懾受影響的組織或企業(yè)，并威脅如果不支付數(shù)據(jù)贖金，便會(huì)將他們的數(shù)據(jù)泄露到互聯(lián)網(wǎng)中。

目前為止，受LostTrust勒索軟件攻擊活動(dòng)影響的企業(yè)和組織至少有53家，而其中的某些組織數(shù)據(jù)已經(jīng)被泄露了。

當(dāng)前我們尚不清楚如果真的支付了數(shù)據(jù)贖金，組織的數(shù)據(jù)是否能夠成功解密并追回。