欢迎访问本站!

首页科技正文

收购usdt(www.caibao.it):勒索软件2.0时代已经到来,你准备好了吗?

admin2021-01-2230资讯

USDT第三方支付API接口

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

在谈论勒索软件时,我们需要在其已往和现在之间划清界限。为什么这么说呢?由于现在的勒索软件不仅仅涉及加密数据,还主要涉及数据泄露。这种“双重勒索”首先会窃取受害者的秘密数据,然后对受害者的文件举行加密。若是受害者拒绝支付赎金,就会公然数据。也就是说,现在的勒索软件已经不再单纯地加密数据,还会在互联网上宣布被盗数据。我们将其称之为“勒索软件2.0”。

为什么强调这种区别至关主要呢?由于许多组织仍然以为数据丢失/泄露完全与恶意软件有关,而且以为只要自己的反恶意软件防护足够好的话,就能够制止这种情形再次发生。遗憾地是,只要人们仍然抱有这种想法,勒索软件威胁行为者就能够继续肆无忌惮地实行攻击流动而且获得乐成。

在大多数情形下,攻击的最初向量都是行使商业VPN软件中的一些已知破绽。其他情形包罗滥用露出于Internet的启用RDP的盘算机。然后就是容易受到攻击的路由器固件的行使。如您所见,这不一定与恶意软件有关,还与一些不良上网行为、缺乏破绽修补设计和通例平安程序等因素有关。

有时刻,勒索软件威胁行为者可能会依赖传统的恶意软件,例如之前曾被其他网络犯罪分子弃用的僵尸网络植入程序。最后,若是我们回想起特斯拉(Tesla)的故事——2020年8月,恶意行为者试图用100万美元诱惑一名特斯拉员工,将勒索软件引入内华达州工厂的特斯拉网络——就会发现人类的身体接触也是一种前言。这就增加了问题的复杂性。

无论在哪种情形下,攻击者的初始入口都是先最先网络侦探,然后在网络中横向移动,之后才最先数据渗透。一旦乐成,这些数据就会成为攻击者的“筹码”。在部署勒索软件时,反恶意软件产品可能已被威胁行为者删除或禁用,由于他们已经完全控制了域网络而且可以以正当管理员的身份运行种种操作。因此可以说,这是一种完全红队的操作,依赖差别的黑客手艺实现自身目的,主要包罗通过正当工具和其他剧本禁用反恶意软件解决方案的手艺。云云一来,威胁行为者完全不在乎勒索软件自己是否会被检测到。

差别的勒索软件组织会使用差别的TTP(战术Tactics、手艺Techniques和历程Procedures)和加密手艺。今天,我们主要探讨其中两个:资深代表Ragnar Locker以及新手代表Egregor。

Ragnar Locker

该恶意软件的早期变体于2019年被发现;然则,2020年上半年Ragnar Locker最先频仍攻击全球大型组织,自此开启其声名狼藉之路。

2020年11月,美国联邦调查局(FBI)向私人行业互助伙伴发出忠告,称从2020年4月最先确认攻击后,Ragnar Locker勒索软件流动激增,包罗云服务提供商、通讯、修建、旅游和企业软件公司在内的各行业组织均中招。

Ragnar Locker勒索软件具有高度针对性,由于每个样本都是针对目的组织量身定制的。其背后的威胁行为者首先获得对目的网络的接见权限,然后举行侦探以定位网络资源和备份,以试图泄露敏感数据。一旦完成侦探阶段,操作员便会手动部署勒索软件并最先加密受害者的数据。

Ragnar Locker勒索软件背后的操作员喜欢滥用远程桌面协议(RDP),而他们首选的付款方式是比特币。据悉,该组织拥有三个.onion域名以及2020年6月16日注册的一个Surface Web域名。

若是受害者拒绝付款,他们就会把窃取的数据宣布在所谓的“羞耻墙”上。

【露出被盗数据的“羞耻墙”屏幕截图】

奇怪的是,该组织将自身定位为“破绽赏金组织”。他们声称,索要的款子是赏金,用于奖励他们发现可以行使的破绽,为文件提供解密以及为受害人提供OpSec培训。最后,也是最主要的,是为了奖励他们不宣布被盗数据。固然,若是受害者拒绝付款,他们就会将数据公然。除此之外,若是受害者与Ragnar Locker威胁行为者相同却没有付款,那么聊天纪录和被盗数据会被同时公然。

2020年7月,Ragnar Locker公然宣布他们加入了所谓的“Maze Cartel”组织,该组织主要由“迷宫”(Maze)背后的攻击者与LockBit和RagnarLocker两个攻击组织组成。意思是说这些团伙举行了互助,交流从受害者处窃取的信息并将其宣布在他们的网站上。

现在,由于潜在目的群重大,Maze基本上是外包事情。这解释这些类型的整体的生长异常像正当企业,而且正在扩大以知足需求。他们可能还在共享战术、手艺和流程,整个“Maze Cartel”也将从中受益。

【据称由Maze提供并在Ragnar Locker羞耻墙页面上宣布的受害者数据示例】

凭据拒绝付款的受害者名单所示,Ragnar Locker的主要目的是美国公司,只是详细行业类型各有差别。

【Ragnar Locker受害者地理漫衍】

【Ragnar Locker受害者行业类型漫衍】

手艺说明

为了举行剖析,我们选择了最近遇到的恶意软件样本:1195d0d18be9362fb8dd9e1738404c9d

启动后,Ragnar Locker会检查正在其上执行的盘算机的系统区域设置。若是确定它是下面的屏幕快照中列出的国家之一的语言环境,它将住手运行并退出,而无需执行其他任何操作。

对于不在上述列表中的国家/区域,它将住手使用名称中包罗任何在恶意软件样本中硬编码并被RC4混淆的子字符串的服务:

之后,Rangar Locker将凭据Trojan主体中包罗的另一个子字符串列表终止正在运行的历程:

最后,当所有准备事情完成后,该木马程序将搜索可用的驱动器并加密受害者的文件。

对于文件加密,RagnarLocker会使用基于Salsa20密码的自定义流密码。该木马程序会为每个处置的文件天生新的随机值,而不是Salsa20常用的尺度初始化常量sigma =“expand 32-byte k”以及tau =“expand 16-byte k”。

这是一个并未十分需要的步骤,可以使密码与尺度Salsa20不兼容,但实际上并不能增强其平安性。

此外,该木马程序还会为每个文件天生唯一的密钥和随机数值,并由RSA使用在木马主体中硬编码的2048位公用密钥以及上述常量举行加密。

该随机数天生器(RNG)是基于公认平安的MS CryptoAPI函数CryptGenRandom和SHA-256哈希算法。其实现看起来有些拙笨,但现在尚未在其中发现任何严重缺陷。

【最近的Ragnar Locker变体使用的RNG程序伪代码】

在对每个受害者文件的内容举行加密后,Ragnar Locker会将加密的密钥、随机数和初始化常量添加到加密的文件中,并通过添加符号“!@,_®agna®_,@!”举行最终确定。

【Ragnar Locker加密文件的尾随字节】

该木马程序留下的赎金通知中包罗受害组织的名称,该名称清楚地解释犯罪分子使用了高度针对性的方式识别受害者并经心准备了攻击流动。

该赎金通知还试图通过强调攻击者除了加密文件外,还通过木马程序窃取了秘密文件,进一步威胁受害者交付赎金。

Egregor

,

usdt收款平台

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

,

Egregor勒索软件是2020年9月发现的一种新病毒,经由开端剖析,我们注重到该新威胁与Sekhmet勒索软件以及臭名昭著的Maze勒索软件之间的代码存在相似性(2020年11月,Maze勒索软件已经宣布退出江湖)。

据悉,Egregor至少拥有一个.onion域和两个Surface Web域。第一个Surface Web域于2020年年9月6日注册;第二个Surface Web域于2020年10月19日注册。在撰写本文时,这两个Surface Web域都处于间歇状态。这可能与其Onion域主页上宣布的一则免责声明有关:

Egregor勒索软件通常由网络中断后的犯罪分子分发,该恶意软件样本是一个动态链接库(DLL)文件,需要使用作为命令行参数给出的准确密码才气启动。这些DLL通常是从Internet上删除的。有时,用于流传它的域名会行使受害者行业中使用的名称或文字。

就与受害者谈判来说,Egregor可能是最激进的勒索软件家族。它只给受害者72小时的时间用于联系威胁行为者。否则,将处置受害者的数据并举行宣布。

该勒索软件的详细赎金主要通过受害者与威胁行为者相同协商,最终杀青一致意见。赎金同样以比特币形式交付。

【谈判支付赎金的示例】

手艺说明

为了举行剖析,我们选择了最近遇到的恶意软件样本:b21930306869a3cdb85ca0d073a738c5

如上面声明中所述,只有在启动历程中提供准确密码的情形下,恶意软件示例才有用。恶意软件的打包程序将使用该密码来解密有用负载二进制文件。参数丢失或不准确将导致有用载荷的解密不准确,从而将无法执行并导致溃逃。

该手艺旨在阻碍沙盒型系统中的自动剖析以及研究职员的手动剖析:没有准确的密码,就不可能解压缩和剖析有用载荷二进制文件。

解压恶意打包程序的两层之后,我们最终得到了一个模糊的二进制文件,该二进制文件仍然不适合静态剖析。 Egregor中使用的混淆手艺与Maze和Sekhmet中的混淆手艺异常相似:使用有条件和无条件跳转、PUSH + JMP而不是RETN的控制流混淆来“损坏代码”。

【控制流混淆示例】

有用负载最先执行时,首先,它将检查操作系统的系统和用户语言,以制止对安装了以下语言之一的盘算机举行加密: 

然后它将实验终止以下程序:

此举旨在使熏染历程中可能正在使用的潜在有价值文件(例如文档或数据库)可写。另外,它还实验终止平安研究职员习惯使用的一些程序(例如procmon或dumpcap),以进一步阻止动态剖析。

Egregor使用基于流密码ChaCha和非对称密码RSA的夹杂文件加密方案。

犯罪分子的RSA-2048主公钥被嵌入木马的主体中。

在受害者的盘算机上执行时,Egregor会天生一对新的唯一的会话RSA密钥对。该会话专用RSA密钥由ChaCha导出,并使用唯一天生的密钥+随机数加密,然后用RSA主公钥加密该密钥和随机数。效果保存在二进制文件中(在本例中为C:\ ProgramData \ dtb.dat),并在赎金纪录中保存为base64编码的字符串。 

对于Egregor处置的每个数据文件,它将天生一个新的256位ChaCha密钥和64位随机数,通过ChaCha加密文件内容,然后使用会话RSA公钥加密它们,最后将它们与一些辅助信息一起保存在加密文件的末尾。

每个加密文件的最后16个字节由一个动态符号组成:一个随机的DWORD以及与该DWORD异或的值0xB16B00B5(在所谓的leet talk中即是“BIGBOOBS”,最初为“黑客、破解者和剧本小子所用)。

【部门文件加密程序伪代码】

 该数据泄露网站的主页中包罗有关最近遭受攻击的公司的新闻,以及勒索软件组织写的一些取笑言论。

该站点的存档部门还列出了勒索者的受害者以及下载偷窃数据的链接。

凭据拒绝支付赎金的受害者信息所示,Egregor的地理笼罩局限比Ragnar Locker的笼罩局限更广:

【Egregor受害者地理漫衍】

 受攻击的行业数目同样要比Ragnar Locker勒索软件更多:

【Egregor受害者行业漫衍】

总结

不幸的是,勒索软件2.0已经到来。当我们谈论2.0的时刻,指的就是具有数据泄露功效且高度针对性的勒索软件。整个勒索历程的重点是有关受害者的数据有没有在互联网上宣布,其次思量的才是解密被锁定的文件。

为什么对于受害者来说,数据没有宣布云云主要?这就要谈及数据珍爱条例的问题,由于违反HIPAA,PIC或GDPR之类的划定所导致的诉讼和罚款,不仅会为企业组织带来重大财政损失,还会进一步影响企业声誉和客户信任感,造成无法弥补的影响。

一旦企业组织将勒索软件威胁行为者视为典型的恶意软件威胁,他们的防护将注定失败。这不仅仅涉及端点珍爱,它照样关于红队协作的问题,商业剖析职员使用渗漏的文件评估赎金水平。固然,它还与数据偷窃和民众羞辱有关,最终会导致林林总总的问题。

防护建议

为了珍爱您的企业组织免受此类勒索软件攻击,平安专家建议:

· 除非绝对需要,否则请勿将远程桌面服务(例如RDP)露出到公共网络中,并始终对它们使用强密码;

· 立即为提供远程员工接见权限并充当网关作用的商业级VPN解决方案安装可用补丁;

· 始终保持您所用的所有装备上的软件处于最新状态,以防止勒索软件滥用其中的破绽;

· 将防御计谋重点放在检测横向移动和数据泄露方面,要格外注重传出的流量,以检测网络犯罪分子的毗邻。定期备份数据并确保在紧要需要时能够快速接见它;

· 为了珍爱公司环境,请对您的员工举行教育培训;

· 使用可靠的端点平安解决方案等等。

本文翻译自:https://securelist.com/targeted-ransomware-encrypting-data/99255/:

网友评论