首頁 > 關于我們 > 安恒動態 > 2023 > 正文

2023勒索趨勢之模糊的家族界限

閱讀量：次 文章來源：安恒信息

勒索態勢日趨復雜

勒索軟件攻擊已經成為全球網絡空間安全面臨的重大威脅和挑戰。

相較于2022年，2023年的勒索威脅態勢逐漸復雜，新型勒索軟件家族和攻擊事件頻發。

僅2023年上半年，全球披露的勒索攻擊事件達2000多次，同比去年有較大增長。其中LockBit、Clop和BlackCat是今年迄今為止最為多產和活躍的勒索家族，受害者眾多。

例如，2023年6月，LockBit入侵了某全球知名芯片公司的IT硬件供應商之一，并從中竊取了公司信息。隨后，LockBit向該公司索要高達7千萬美元的贖金，否則公開被盜數據。

Clop勒索組織在上半年利用多個0day漏洞，攻擊了數百個組織，竊取并售賣包括美國能源部等在內的多家大型組織和機構的數據，名噪一時。

除了在攻擊聲勢上愈發猖獗，勒索軟件生態在攻防博弈中也不斷地發展、創新和融合。

一方面，勒索組織將目標擴大到包括Linux、VMwareESXi、MacOS等在內的多個架構平臺。2023年出現了不少針對Linux/VMwareESXi的勒索家族及其變體，例如ESXiArgs，Akira、Cyclops等，其中Cyclops擁有針對包括Windows，Linux和MacOS系統在內三種主流操作系統的勒索軟件開發能力。

另一方面，隨著勒索生態不斷豐富和相關網絡犯罪的盛行，一些勒索組織所使用的工具甚至源代碼逐漸被公開和流轉。尤其近2年來包括Conti、Babuk和LockBit等知名勒索組織泄露的源碼和構建器，使得勒索開發門檻進一步降低。

基于此類源碼和構建器產生的新型勒索組織層出不窮，使得判定勒索組織/家族更為復雜，勒索家族之間越來越難以有清晰的界限。

以下我們將分析2023年觀察到的部分新勒索家族樣本，從中探尋勒索生態的演變趨勢。

潘多拉魔盒的開啟：Babuk勒索泄露

2021年9月，Babuk小組的一名成員在某個俄語黑客論壇上聲稱自己患有晚期癌癥，并發布了Babuk勒索軟件的完整源代碼。

Babuk Locker又稱Babyk，是2021年1月開始運營的勒索軟件。泄露的信息涵蓋創建功能性勒索軟件可執行文件所需的所有內容，包含適用于Windows、Linux/VMware ESXi和NAS加密器在內的三個Visual Studio項目。

經此事件后，陸續有發現基于Babuk的源碼所構建的新型勒索家族，尤其是針對Linux/VMwareESXi的勒索家族樣本。

2023年3月，獵影實驗室發現一種自稱CylanceRansomware的新型勒索家族。該勒索可以快速加密文件并添加擴展名.Cylance，在目錄下放置勒索信文件CYLANCE_README.txt。

CylanceRansomware其擁有Windows和Linux兩種變體，經分析Linux變體是復用Babuk的源代碼改造開發而來。

對比Babuk的Linux/VMware ESX源碼，例如在文件遍歷的函數部分，其結構一致，函數名相同，替換了勒索信名稱和需要比較的擴展名

2023年9月，Ragnar Locker的Linux變體樣本被披露，發現其同樣是基于Babuk代碼構建，偽代碼比較如下圖所示。

Babuk的源碼泄露，給勒索軟件犯罪團伙們提供了極大地幫助，尤其那些尚未成熟的勒索團伙，通過Babuk的源碼可以進一步完善和豐富勒索軟件的功能開發，催生出大量此前未出現的新型勒索家族。

被濫用的犯罪工具：LockBit構建器

LockBit毫無疑問是勒索軟件發展史上具有里程碑式的勒索組織，也是目前的勒索生態中頂級的RaaS勒索集團。

LockBit，曾用名為ABCD勒索軟件，自2020年1月以來，使用LockBit的附屬公司攻擊了一系列關鍵基礎設施領域的不同規模的組織。

該勒索歷年來經過多次變體，尤其2022年6月發布的LockBit3.0版本的加密器，使用包括參數密碼、隨機加密可執行文件等多種保護技術避免被檢測和分析，此外該組織還引入漏洞賞金計劃邀請安全研究人員提交漏洞報告。

2022年9月，兩個不同版本的LockBit構建器被公布，其擁有用于構建所有文件的批處理文件、可自定義的配置文件、密鑰生成程序等，能夠生成各種DLL和EXE格式的加密器和解密器。

在泄露事件發生后不久，安全研究人員發現勒索組織Bl00dy使用該構建器開發了屬于自己的勒索程序，其擁有自身獨特的勒索信風格和聯系渠道。

在2023年，使用LockBit構建器的勒索團伙逐漸增多，對于小型勒索組織，技術能力較低的并不會對構建器進行大規模改造，加密圖標、甚至背景桌面都可能沿用原有的LockBit風格。

而對于一些富有創新和技術能力的勒索組織，則會進行一定程度的定制化開發，包括加密圖標、桌面背景、勒索信等，甚至還擁有自己的暗網聯系渠道。

獵影實驗室近期發現多個基于LockBit構建器的新型勒索家族，例如SOLEENYARansomware，該勒索對構建器進行了自定義的改造，有著不同于LockBit勒索的勒索信內容和暗網聯系渠道。

下圖為安恒云沙箱勒索場景化分析的家族信息，從勒索信中自稱為SOLEENYARansomware，以及擁有自定義的Tor網站可以表明其背后勒索組織的獨立性。

將SOLEENYA與LockBit3.0以往樣本進行分析比較，可以看出勒索信格式都為“后綴名.README.txt”，其次兩者在代碼結構上類似，例如在API的獲取方法上基本一致。

與此類似的還有Blackout勒索家族樣本，勒索信同樣具有獨特的風格。

這類基于LockBit構建器所開發的勒索樣本，編譯時間都為2022-09-13 23:30:57 UTC，而且在VT中的文件名往往含有“LB3”字樣，這與構建器生成的文件名類似。

LockBit構建器的泄露，一方面使得一些低技術、小成本的犯罪團伙可以快速開發出自己的勒索程序，靈活配置形成自定義的風格。另一方面，具有較強創新能力的中大型勒索組織同樣可以利用構建器增強自身，進一步提高逃避檢測和抗分析能力。

難以分辨的混沌：Chaos構建器

2021年，安全研究人員發現一款名為Chaos的勒索軟件構建器在地下論壇中分發出售，一開始的V1版本不具備解密能力，更類似于破壞性的數據擦除器。隨著版本的迭代，目前的Chaos具有了一般勒索的加解密能力，并且實現了在內網中擴散，更改桌面背景等功能。

Chaos勒索是在.NET平臺上開發的一款勒索軟件，運行后會檢查是否是管理員權限，并且將程序復制在用戶目錄下，名稱更改為“svchost.exe”此類偽裝成正常的進程。

在加密前執行刪除卷影副本、刪除備份、禁止自啟動修復的命令操作。

Chaos勒索加密后綴為隨機的4個字符，采用AES/RSA的加密組合。

勒索信名稱一般為read_it，勒索信內容如下：

在2023年，我們發現了一系列由Chaos勒索構建器生成的勒索樣本，它們往往只更改了一些數據信息，例如壁紙圖片、勒索信內容以及聯系渠道、比特幣地址等，而在代碼和功能上與原有的Chaos勒索保持了一致。

Apocalipse勒索：

NIGHTCROW勒索：

此類勒索一般使用比特幣作為贖金支付的手段，往往沒有像中大型勒索組織那樣建立tor博客和數據泄露網站，而是通過匿名服務進行聯系，例如匿名郵箱、TG和TOX等。

思考總結

無論是泄露的源碼/構建器還是在黑市出售的定制化勒索開發工具，都在助長勒索軟件攻擊囂張氣焰。

獵影實驗室專家表示在全球經濟形勢低迷和政治局勢動蕩的背景下，可能會出現更多網絡犯罪組織和集團，尤其受到巨大利潤的吸引，勒索軟件攻擊可能會持續增加。

對于勒索組織而言，現成的源碼和構建器能夠節省大量的開發成本和精力，使得他們更專注于如何隱蔽地進行攻擊和竊密，并且擴大影響，達到掠取贖金的目的。

源碼和構建器的濫用也給勒索攻擊的檢測和防御帶來挑戰。勒索家族的界定逐漸變得模糊，一種新的勒索樣本很可能參考和沿用了多個勒索家族的代碼和功能，這增加了對此類攻擊的準確識別和及時防范的難度。

因此，必須改進和加強勒索軟件攻擊的監測技術和防御機制，加強信息共享與合作，提高對勒索軟件攻擊的理解和研究，及時更新防御工具和策略，以確保網絡安全并保護用戶的數據免受勒索軟件攻擊的威脅。

“

防范建議

1.? 及時備份重要數據。

2.? 不隨意打開來源不明的程序。

3.? 不訪問未知安全性的網站等。

4.? 使用合格的安全產品

5.? 定期檢查系統日志中是否有可疑事件

6.? 重要資料的共享文件夾應設置訪問權限控制，并進行定期離線備份, 關閉不必要的文件共享功能

7.? 不要輕信不明郵件，提高安全意識

目前安全數據部已具備相關威脅檢測能力，對應產品已完成IoC情報的集成。

安恒信息產品已集成能力：

針對該事件中的最新IoC情報，以下產品的版本可自動完成更新，若無法自動更新則請聯系技術人員手動更新：

1.??AiLPHA分析平臺V5.0.0及以上版本

2.??AiNTA設備V1.2.2及以上版本

3.??AXDR平臺V2.0.3及以上版本

4.??APT設備V2.0.67及以上版本

5.??EDR產品V2.0.17及以上版本

安恒信息再次提醒廣大用戶，請謹慎對待互聯網中來歷不明的文件，如有需要，請上傳至安恒云沙箱https://sandbox.dbappsecurity.com.cn，進行后續判斷。

安恒云沙箱反饋與合作請聯系：sandbox@dbappsecurity.com.cn

參考文獻

1.?https://www.sentinelone.com/labs/hypervisor-ransomware-multiple-threat-actor-groups-hop-on-leaked-babuk-code-to-build-esxi-lockers/

2.?https://www.trendmicro.com/vinfo/us/security/news/ransomware-by-the-numbers/lockbit-blackcat-and-clop-prevail-as-top-raas-groups-for-1h-2023

3.?https://www.trendmicro.com/en_us/research/21/h/chaos-ransomware-a-dangerous-proof-of-concept.html

往期精彩回顧

以管促用，看安恒信息如何助力商用密碼應用建設

2023-11-21

范淵榮獲“2023中國上市公司口碑榜社會責任先鋒人物獎”

2023-11-20

中國品牌500強！安恒信息再獲榮譽

2023-11-19

關閉

AI+安全>

數據安全>

數據基礎設施>

態勢感知>

云安全>

基礎安全>

終端安全>

商用密碼>

軟件供應鏈安全>