亚洲av小说,欧美在线播放一区,免费观看已满十八岁中国电视剧,下面一进一出好爽视频

     

            

            
    
            
        
            數(shù)字經(jīng)濟的安全基石
            
        

        
        
             
            
			
            
            
            
             申請試用
             
        
            
    
            

            

            
    
            
        
                                      
                             
                             
                                                            
                     
            

        
            
            首頁 > 關于我們 > 安恒動態(tài) > 2023 > 正文

        
            

        
            
             
            
                  
            2023勒索趨勢之模糊的家族界限
            
                  
            
                      閱讀量:文章來源:安恒信息
                      
                     
					 
					 					  
                  
            
                  
            
                       
            

            
	
            
		
            
			
            
				
            
					
            
						
            
							
						
            
					
            


            

            
					
            
						01
					
            

            
					
            
						勒索態(tài)勢日趨復雜
					
            

            
					
            
						
            
					
            

            
					
            
						勒索軟件攻擊已經(jīng)成為全球網(wǎng)絡空間安全面臨的重大威脅和挑戰(zhàn)。
					
            

            
					
            
						相較于2022年,2023年的勒索威脅態(tài)勢逐漸復雜,新型勒索軟件家族和攻擊事件頻發(fā)。
					
            
					
            
						僅2023年上半年,全球披露的勒索攻擊事件達2000多次,同比去年有較大增長。其中LockBit、Clop和BlackCat是今年迄今為止最為多產(chǎn)和活躍的勒索家族,受害者眾多。
					
            
					
            
						例如,2023年6月,LockBit入侵了某全球知名芯片公司的IT硬件供應商之一,并從中竊取了公司信息。隨后,LockBit向該公司索要高達7千萬美元的贖金,否則公開被盜數(shù)據(jù)。
					
            
					
            
						Clop勒索組織在上半年利用多個0day漏洞,攻擊了數(shù)百個組織,竊取并售賣包括美國能源部等在內(nèi)的多家大型組織和機構的數(shù)據(jù),名噪一時。
					
            
					
            
						除了在攻擊聲勢上愈發(fā)猖獗,勒索軟件生態(tài)在攻防博弈中也不斷地發(fā)展、創(chuàng)新和融合。
					
            
					
            
						一方面,勒索組織將目標擴大到包括Linux、VMwareESXi、MacOS等在內(nèi)的多個架構平臺。2023年出現(xiàn)了不少針對Linux/VMwareESXi的勒索家族及其變體,例如ESXiArgs,Akira、Cyclops等,其中Cyclops擁有針對包括Windows,Linux和MacOS系統(tǒng)在內(nèi)三種主流操作系統(tǒng)的勒索軟件開發(fā)能力。
					
            
					
            
						另一方面,隨著勒索生態(tài)不斷豐富和相關網(wǎng)絡犯罪的盛行,一些勒索組織所使用的工具甚至源代碼逐漸被公開和流轉(zhuǎn)。尤其近2年來包括Conti、Babuk和LockBit等知名勒索組織泄露的源碼和構建器,使得勒索開發(fā)門檻進一步降低。
					
            

            
					
            
						
            
					
            

            
					
            
						基于此類源碼和構建器產(chǎn)生的新型勒索組織層出不窮,使得判定勒索組織/家族更為復雜,勒索家族之間越來越難以有清晰的界限。
					
            
					
            
						以下我們將分析2023年觀察到的部分新勒索家族樣本,從中探尋勒索生態(tài)的演變趨勢。
					
            

            
					
            
						
            
					
            

            
					
            
						02
					
            

            
					
            
						潘多拉魔盒的開啟:Babuk勒索泄露
					
            

            
					
            
						
            
					
            

            
					
            
						2021年9月,Babuk小組的一名成員在某個俄語黑客論壇上聲稱自己患有晚期癌癥,并發(fā)布了Babuk勒索軟件的完整源代碼。
					
            
					
            
						Babuk Locker又稱Babyk,是2021年1月開始運營的勒索軟件。泄露的信息涵蓋創(chuàng)建功能性勒索軟件可執(zhí)行文件所需的所有內(nèi)容,包含適用于Windows、Linux/VMware ESXi和NAS加密器在內(nèi)的三個Visual Studio項目。
					
            
					
            
						經(jīng)此事件后,陸續(xù)有發(fā)現(xiàn)基于Babuk的源碼所構建的新型勒索家族,尤其是針對Linux/VMwareESXi的勒索家族樣本。
					
            
					
            
						2023年3月,獵影實驗室發(fā)現(xiàn)一種自稱CylanceRansomware的新型勒索家族。該勒索可以快速加密文件并添加擴展名.Cylance,在目錄下放置勒索信文件CYLANCE_README.txt。
					
            
					
            
						CylanceRansomware其擁有Windows和Linux兩種變體,經(jīng)分析Linux變體是復用Babuk的源代碼改造開發(fā)而來。
					
            
					
            
						對比Babuk的Linux/VMware ESX源碼,例如在文件遍歷的函數(shù)部分,其結構一致,函數(shù)名相同,替換了勒索信名稱和需要比較的擴展名
					
            

            
					
            
						
            
					
            

            
					
            
						
            
					
            

            
					
            
						2023年9月,Ragnar Locker的Linux變體樣本被披露,發(fā)現(xiàn)其同樣是基于Babuk代碼構建,偽代碼比較如下圖所示。
					
            

            
					
            
						
            
					
            

            
					
            
						
            
					
            

            
					
            
						Babuk的源碼泄露,給勒索軟件犯罪團伙們提供了極大地幫助,尤其那些尚未成熟的勒索團伙,通過Babuk的源碼可以進一步完善和豐富勒索軟件的功能開發(fā),催生出大量此前未出現(xiàn)的新型勒索家族。
					
            

            
					
            
						
            
					
            

            
					
            
						03
					
            

            
					
            
						被濫用的犯罪工具:LockBit構建器
					
            

            
					
            
						
            
					
            

            
					
            
						LockBit毫無疑問是勒索軟件發(fā)展史上具有里程碑式的勒索組織,也是目前的勒索生態(tài)中頂級的RaaS勒索集團。
					
            
					
            
						LockBit,曾用名為ABCD勒索軟件,自2020年1月以來,使用LockBit的附屬公司攻擊了一系列關鍵基礎設施領域的不同規(guī)模的組織。
					
            
					
            
						該勒索歷年來經(jīng)過多次變體,尤其2022年6月發(fā)布的LockBit3.0版本的加密器,使用包括參數(shù)密碼、隨機加密可執(zhí)行文件等多種保護技術避免被檢測和分析,此外該組織還引入漏洞賞金計劃邀請安全研究人員提交漏洞報告。
					
            
					
            
						2022年9月,兩個不同版本的LockBit構建器被公布,其擁有用于構建所有文件的批處理文件、可自定義的配置文件、密鑰生成程序等,能夠生成各種DLL和EXE格式的加密器和解密器。
					
            

            
					
            
						
            
					
            

            
					
            
						
            
					
            

            
					
            
						在泄露事件發(fā)生后不久,安全研究人員發(fā)現(xiàn)勒索組織Bl00dy使用該構建器開發(fā)了屬于自己的勒索程序,其擁有自身獨特的勒索信風格和聯(lián)系渠道。
					
            
					
            
						在2023年,使用LockBit構建器的勒索團伙逐漸增多,對于小型勒索組織,技術能力較低的并不會對構建器進行大規(guī)模改造,加密圖標、甚至背景桌面都可能沿用原有的LockBit風格。
					
            
					
            
						而對于一些富有創(chuàng)新和技術能力的勒索組織,則會進行一定程度的定制化開發(fā),包括加密圖標、桌面背景、勒索信等,甚至還擁有自己的暗網(wǎng)聯(lián)系渠道。
					
            
					
            
						獵影實驗室近期發(fā)現(xiàn)多個基于LockBit構建器的新型勒索家族,例如SOLEENYARansomware,該勒索對構建器進行了自定義的改造,有著不同于LockBit勒索的勒索信內(nèi)容和暗網(wǎng)聯(lián)系渠道。
					
            
					
            
						下圖為安恒云沙箱勒索場景化分析的家族信息,從勒索信中自稱為SOLEENYARansomware,以及擁有自定義的Tor網(wǎng)站可以表明其背后勒索組織的獨立性。
					
            

            
					
            
						
            
					
            

            
					
            
						
            
					
            

            
					
            
						將SOLEENYA與LockBit3.0以往樣本進行分析比較,可以看出勒索信格式都為“后綴名.README.txt”,其次兩者在代碼結構上類似,例如在API的獲取方法上基本一致。
					
            

            
					
            
						
            
					
            

            
					
            
						
            
					
            

            
					
            
						與此類似的還有Blackout勒索家族樣本,勒索信同樣具有獨特的風格。
					
            

            
					
            
						
            
					
            

            
					
            
						
            
					
            

            
					
            
						這類基于LockBit構建器所開發(fā)的勒索樣本,編譯時間都為2022-09-13 23:30:57 UTC,而且在VT中的文件名往往含有“LB3”字樣,這與構建器生成的文件名類似。
					
            

            
					
            
						
            
					
            

            
					
            
						
            
					
            

            
					
            
						LockBit構建器的泄露,一方面使得一些低技術、小成本的犯罪團伙可以快速開發(fā)出自己的勒索程序,靈活配置形成自定義的風格。另一方面,具有較強創(chuàng)新能力的中大型勒索組織同樣可以利用構建器增強自身,進一步提高逃避檢測和抗分析能力。
					
            

            
					
            
						
            
					
            

            
					
            
						04
					
            

            
					
            
						難以分辨的混沌:Chaos構建器
					
            

            
					
            
						
            
					
            

            
					
            
						2021年,安全研究人員發(fā)現(xiàn)一款名為Chaos的勒索軟件構建器在地下論壇中分發(fā)出售,一開始的V1版本不具備解密能力,更類似于破壞性的數(shù)據(jù)擦除器。隨著版本的迭代,目前的Chaos具有了一般勒索的加解密能力,并且實現(xiàn)了在內(nèi)網(wǎng)中擴散,更改桌面背景等功能。
					
            
					
            
						Chaos勒索是在.NET平臺上開發(fā)的一款勒索軟件,運行后會檢查是否是管理員權限,并且將程序復制在用戶目錄下,名稱更改為“svchost.exe”此類偽裝成正常的進程。
					
            

            
					
            
						
            
					
            

            
					
            
						
            
					
            

            
					
            
						在加密前執(zhí)行刪除卷影副本、刪除備份、禁止自啟動修復的命令操作。
					
            

            
					
            
						
            
					
            

            
					
            
						
            
					
            

            
					
            
						Chaos勒索加密后綴為隨機的4個字符,采用AES/RSA的加密組合。
					
            

            
					
            
						
            
					
            

            
					
            
						
            
					
            

            
					
            
						勒索信名稱一般為read_it,勒索信內(nèi)容如下:
					
            

            
					
            
						
            
					
            

            
					
            
						
            
					
            

            
					
            
						在2023年,我們發(fā)現(xiàn)了一系列由Chaos勒索構建器生成的勒索樣本,它們往往只更改了一些數(shù)據(jù)信息,例如壁紙圖片、勒索信內(nèi)容以及聯(lián)系渠道、比特幣地址等,而在代碼和功能上與原有的Chaos勒索保持了一致。
					
            
					
            
						Apocalipse勒索:
					
            

            
					
            
						
            
					
            

            
					
            
						NIGHTCROW勒索:
					
            

            
					
            
						
            
					
            

            
					
            
						此類勒索一般使用比特幣作為贖金支付的手段,往往沒有像中大型勒索組織那樣建立tor博客和數(shù)據(jù)泄露網(wǎng)站,而是通過匿名服務進行聯(lián)系,例如匿名郵箱、TG和TOX等。
					
            

            
					
            
						
            
					
            

            
					
            
						
            
					
            

            
					
            
						05
					
            

            
					
            
						思考總結
					
            

            
					
            
						
            
					
            

            
					
            
						無論是泄露的源碼/構建器還是在黑市出售的定制化勒索開發(fā)工具,都在助長勒索軟件攻擊囂張氣焰。
					
            
					
            
						獵影實驗室專家表示在全球經(jīng)濟形勢低迷和政治局勢動蕩的背景下,可能會出現(xiàn)更多網(wǎng)絡犯罪組織和集團,尤其受到巨大利潤的吸引,勒索軟件攻擊可能會持續(xù)增加。
					
            
					
            
						對于勒索組織而言,現(xiàn)成的源碼和構建器能夠節(jié)省大量的開發(fā)成本和精力,使得他們更專注于如何隱蔽地進行攻擊和竊密,并且擴大影響,達到掠取贖金的目的。
					
            
					
            
						源碼和構建器的濫用也給勒索攻擊的檢測和防御帶來挑戰(zhàn)。勒索家族的界定逐漸變得模糊,一種新的勒索樣本很可能參考和沿用了多個勒索家族的代碼和功能,這增加了對此類攻擊的準確識別和及時防范的難度。
					
            
					
            
						因此,必須改進和加強勒索軟件攻擊的監(jiān)測技術和防御機制,加強信息共享與合作,提高對勒索軟件攻擊的理解和研究,及時更新防御工具和策略,以確保網(wǎng)絡安全并保護用戶的數(shù)據(jù)免受勒索軟件攻擊的威脅。
					
            

            
					
            
						
            
					
            

            
					
            

            
					
            
						防范建議
					
            

            
					
            
						1.? 及時備份重要數(shù)據(jù)。
					
            
					
            
						2.? 不隨意打開來源不明的程序。
					
            
					
            
						3.? 不訪問未知安全性的網(wǎng)站等。
					
            
					
            
						4.? 使用合格的安全產(chǎn)品
					
            
					
            
						5.? 定期檢查系統(tǒng)日志中是否有可疑事件
					
            
					
            
						6.? 重要資料的共享文件夾應設置訪問權限控制,并進行定期離線備份, 關閉不必要的文件共享功能
					
            
					
            
						7.? 不要輕信不明郵件,提高安全意識
					
            
					
            
						目前安全數(shù)據(jù)部已具備相關威脅檢測能力,對應產(chǎn)品已完成IoC情報的集成。
					
            

            
					
            
						
            
					
            

               
            
					
            
						安恒信息產(chǎn)品已集成能力:
					
            

            
					
            
						
            
					
            

            
					
            
						針對該事件中的最新IoC情報,以下產(chǎn)品的版本可自動完成更新,若無法自動更新則請聯(lián)系技術人員手動更新:
					
            
					
            
						1.??AiLPHA分析平臺V5.0.0及以上版本
					
            
					
            
						2.??AiNTA設備V1.2.2及以上版本
					
            
					
            
						3.??AXDR平臺V2.0.3及以上版本
					
            
					
            
						4.??APT設備V2.0.67及以上版本
					
            
					
            
						5.??EDR產(chǎn)品V2.0.17及以上版本
					
            
					
            
						
            
					
            

            
					
            
						安恒信息再次提醒廣大用戶,請謹慎對待互聯(lián)網(wǎng)中來歷不明的文件,如有需要,請上傳至安恒云沙箱https://sandbox.dbappsecurity.com.cn,進行后續(xù)判斷。
					
            

            
					
            
						安恒云沙箱反饋與合作請聯(lián)系:sandbox@dbappsecurity.com.cn
					
            

            
					
            
						
            
					
            

            
					
            
						參考文獻
					
            

            
					
            
						
            
					
            

            
					
            
						1.?https://www.sentinelone.com/labs/hypervisor-ransomware-multiple-threat-actor-groups-hop-on-leaked-babuk-code-to-build-esxi-lockers/
					
            
					
            
						2.?https://www.trendmicro.com/vinfo/us/security/news/ransomware-by-the-numbers/lockbit-blackcat-and-clop-prevail-as-top-raas-groups-for-1h-2023
					
            
					
            
						3.?https://www.trendmicro.com/en_us/research/21/h/chaos-ransomware-a-dangerous-proof-of-concept.html
					
            


            

            
					
            
						
            
					
            
					
            
						往期精彩回顧
					
            


            


            


            

            
					
            
						以管促用,看安恒信息如何助力商用密碼應用建設
					
            
					
            
						2023-11-21
					
            

            
					
            
						范淵榮獲“2023中國上市公司口碑榜社會責任先鋒人物獎”
					
            
					
            
						2023-11-20
					
            

            
					
            
						中國品牌500強!安恒信息再獲榮譽
					
            
					
            
						2023-11-19
					
            

            
					
            
						
            
					
            
					
            
						
					
            
				
            
			
            
		
            
	
            

            
                  
            
                  
                                  
                     
					 
					 
                      關閉
                  
            
                  
            
                       
              
                          	
                       
            
                  
            
             
            
             
        
            

    
            
 



                
                
                    
            	        	        
            客服在線咨詢?nèi)肟冢诖c您交流
                    
                    
                         線上咨詢        
                            
                                    聯(lián)系我們            
                             
            咨詢電話:400-6059-110
                        
                    
                            
                        	            	                	                	            	            	                產(chǎn)品試用	                                    
                            
                                即刻預約免費試用,我們將在24小時內(nèi)聯(lián)系您                
                        
                    
                            
                                    微信咨詢            
                            安恒信息聯(lián)系方式