趨勢 1：攻擊者正在嘗試開發(fā)跨平臺勒索軟件

　　由于多年來越來越流行的大型狩獵 (BGH) 計劃,，攻擊者已經(jīng)滲透到越來越復雜的系統(tǒng)環(huán)境中,。為了造成盡可能多的破壞并使恢復變得非常困難,，他們試圖對盡可能多的系統(tǒng)進行加密,。這意味著他們的勒索軟件應該能夠在不同的架構和操作系統(tǒng)組合上運行。

　　克服這個問題的一種方法是使用“跨平臺編程語言”（例如 Rust 或 Golang）編寫勒索軟件,。使用跨平臺語言還有其他幾個原因,。例如，即使勒索軟件目前可能針對一個平臺,，但將其寫入跨平臺可以更容易地將其移植到其他平臺,。另一個原因是跨平臺二進制文件的分析比用純 C 編寫的惡意軟件要難一些。

　　Conti 跨平臺功能

　　Conti 是一個開展 BGH 的組織,，其目標是全球范圍內(nèi)的各種組織,。就像許多其他 BGH 組織一樣，它使用雙重勒索技術,。

　　我們注意到,，只有某些關聯(lián)公司才能訪問針對 ESXi 系統(tǒng)的 Conti 勒索軟件的 Linux 變體。它支持各種不同的命令行參數(shù),，會員可以使用這些參數(shù)來自定義執(zhí)行,。Linux 版本支持以下參數(shù)：

　　detach：示例在后臺執(zhí)行，并與終端分離,；

　　log：出于調(diào)試目的,，指定文件名后，Conti 會將操作寫入日志文件,；

　　path：Conti 需要這個路徑來加密系統(tǒng),。使用選定的路徑,，勒索軟件將遞歸加密整個文件夾結(jié)構；

　　prockiller：此標志允許勒索軟件阻止那些具有選定文件進行加密的進程,；

　　size：函數(shù)未實現(xiàn),；

　　vmlist：用于在加密過程中跳過虛擬機的標志；

　　vmkiller：它將終止 ESXi 生態(tài)系統(tǒng)的所有虛擬機,；

　　BlackCat 跨平臺功能

　　BlackCat 于 2021 年 12 月開始在暗網(wǎng)上提供服務,。盡管該惡意軟件是用 Rust 編寫的，但我們發(fā)現(xiàn)了一些與 BlackMatter 組織相關的攻擊示例,，因為該攻擊者使用了與之前在 BlackMatter 活動中觀察到的相同的自定義滲透工具,。由于 Rust 的交叉編譯功能，我們很快就找到了同樣適用于 Linux 的 BlackCat 示例,。

　　BlackCat 的 Linux 示例與 Windows 非常相似,。在功能方面，它稍微多一些,，因為它能夠關閉設備并刪除 ESXi 虛擬機,。典型的 Windows 功能（例如，通過 cmd.exe 執(zhí)行命令）被刪除,，并被Linux的等效功能取代，因此勒索軟件在其運行的不同平臺上仍然具有相同的功能,。

　　Deadbolt 跨平臺功能

　　Deadbolt 是一個以跨平臺語言編寫的勒索軟件示例,，但目前僅針對QNAP NAS 系統(tǒng)。它也是 Bash,、HTML 和 Golang 的有趣組合,。Deadbolt 本身是用 Golang 編寫的，贖金通知是一個HTML文件,，它取代了QNAP NAS使用的標準索引文件,，如果提供的解密密鑰是正確的，則使用Bash腳本啟動解密過程,。這個勒索軟件還有一個特別之處：它不需要與攻擊者進行任何交互,，因為在比特幣交易的 OP_RETURN 字段中提供了解密密鑰。Bash 文件如下所示,。

　　趨勢 2：勒索軟件生態(tài)系統(tǒng)正在變得更加“工業(yè)化”

　　就像合法的軟件公司一樣,，網(wǎng)絡犯罪組織也在不斷地為自己和他們的客戶開發(fā)他們的工具包，例如,，使數(shù)據(jù)泄露的過程更快,、更容易。攻擊者有時會使用的另一個技巧是重新命名他們的勒索軟件,，在這個過程中一點點改變,。讓我們深入研究一下勒索軟件組織最近使用的新工具和“商業(yè)”策略,。

　　自 2019 年以來最成功的 RaaS—— Lockbit 的演變

　　Lockbit 始于 2019 年，然后在 2020 年宣布了其附屬計劃,。隨著時間的推移,，該組織一直在積極迭代，如下圖所示：

　　該組織在開始進行惡意活動時,，沒有任何泄密網(wǎng)站,，沒有進行雙重勒索，也沒有數(shù)據(jù)加密前的數(shù)據(jù)泄露,。

　　隨著時間的推移,，基礎設施也得到了改善。與其他勒索軟件家族一樣,，Lockbit 的基礎設施遭受了多次攻擊,，迫使該組織實施一些對策來保護其資產(chǎn)。這些攻擊包括對 Lockbit 管理面板的黑客攻擊和 DDOS 攻擊,，以迫使該組織關閉其活動,。

　　Lockbit 開發(fā)人員添加的最新安全功能是“等待頁面”，可以將用戶重定向到一個可用的鏡像,。

　　StealBIT：Lockbit 勒索軟件使用的自定義數(shù)據(jù)泄露工具

　　當組織實施雙重勒索時使用的數(shù)據(jù)泄露可以通過許多不同的方式進行,。最初，攻擊者使用諸如 Filezilla 等公開可用的工具,，然后用他們自己的自定義工具（如 StealBIT）取而代之,。原因如下：

　　公開可用的工具并不總是以速度著稱。對勒索軟件運營商來說,，速度很重要,，因為竊取數(shù)據(jù)的時間越長，勒索軟件運營商被抓住的幾率就越大,。

　　靈活性是另一個原因,。標準工具的設計并沒有考慮到勒索軟件運營商的要求。例如,，使用大多數(shù)工具,，可以僅將數(shù)據(jù)上傳到一臺主機。如果該主機已關閉,，則必須手動指定另一臺主機,。犯罪基礎設施被摧毀或落入LEA手中的可能性總是存在的。為了提供更大的靈活性并克服這些限制,，StealBIT提供了一個數(shù)據(jù)可以被竊取到的硬編碼主機列表,。如果第一個主機由于某種原因關閉，則嘗試第二個主機,。

　　勒索軟件運營商的要求是公開可用的工具無法滿足的,。其中一項要求是不泄露所有數(shù)據(jù),，而只泄露有趣的數(shù)據(jù)。在 StealBIT 中,，這是通過硬編碼應提取的擴展列表來實現(xiàn)的,。另一個功能是在上傳數(shù)據(jù)時發(fā)送附屬 ID。

　　在下圖中,，研究人員將數(shù)據(jù)泄露與其他工具的數(shù)據(jù)泄露進行了比較：

　　SoftShade 部署 Fendr 滲透客戶端

　　Fendr,，也稱為 Exmatter，是一種惡意數(shù)據(jù)泄露工具,，被 BlackMatter,、Conti 和 BlackCat 等多個勒索軟件組織使用。在我們觀察到的所有 BlackMatter 和 Conti 事件中都沒有看到 Fendr,，但我們確實在所有與 BlackCat 相關的事件中看到了它們,。因此，我們認為 Fendr 被參與了一些附屬計劃,。

　　在SoftShade內(nèi)部,，開發(fā)人員將其稱為“file_sender”和“sender2”。該惡意軟件是用 C# .Net 編寫的,，并且經(jīng)常與 BlackMatter 和 Conti 惡意軟件一起部署為打包的 .Net 可執(zhí)行文件,，但與 Conti 和 BlackCat 勒索軟件一起部署的大多數(shù)示例都沒有打包（2021 年 11 月的一次 Conti 事件除外）。它旨在有效管理受害系統(tǒng)上的大量選擇性文件收集和上傳活動,，然后將其從系統(tǒng)中刪除,。Fendr 由多個開源庫構建而成，它的設計顯然是在勒索軟件領域成熟和專業(yè)經(jīng)驗的結(jié)果,，可以處理各種Windows系統(tǒng)和網(wǎng)絡上任意的大文件量。

　　同樣有趣的是 Fendr 及其選擇的勒索軟件的部署和打包,，在每個附屬計劃中（除了一次 Conti 事件）,，勒索軟件和 Fendr 通過網(wǎng)絡同時傳送到多個系統(tǒng)，如“v2.exe”和“v2c.exe”,，或“v2.exe”和“sender2.exe”,。這種同步推動似乎優(yōu)先考慮協(xié)調(diào)和效率，而不是提高被發(fā)現(xiàn)的風險,。在一個與const相關的異常中,，一個Fendr變體被作為“\\hostname\$temp\sender2.exe”通過網(wǎng)絡推送到許多系統(tǒng)。

　　趨勢3：勒索軟件組織在地緣政治沖突中會出現(xiàn)政治偏向

　　攻擊者利用新聞頭條來實現(xiàn)他們的惡意目標,。研究人員在全球 Covid-19 初始階段看到了這一點,，當時與 Covid-19 相關的垃圾郵件和網(wǎng)絡釣魚電子郵件激增。2022年俄烏沖突也是如此,。

　　通常在這樣的地緣政治沖突中,，人們會將網(wǎng)絡攻擊的源頭與國家支持的攻擊組織聯(lián)系起來,。但事實并非總是如此，因為我們注意到,，在這場沖突中,，出現(xiàn)了一種新型的參與方式：網(wǎng)絡犯罪論壇和勒索軟件組織對形勢做出反應，并采取行動,。

　　2 月 25 日,，Conti 在其新聞網(wǎng)站上發(fā)布了一條消息，聲明如果俄羅斯成為網(wǎng)絡攻擊的目標,，它將以全部能力對任何“敵人”的關鍵基礎設施進行報復,。這可能是網(wǎng)絡犯罪組織公開支持民族國家的罕見例子。結(jié)果,，一名據(jù)稱是烏克蘭人的成員在網(wǎng)上分享了聊天和其他內(nèi)部 Conti 相關信息,。

　　Conti 勒索軟件組織在其新聞網(wǎng)站上發(fā)布警告消息

　　另一方面，還有其他社區(qū),，如“匿名者”,、“烏克蘭IT軍”和“白俄羅斯網(wǎng)絡游擊隊”公開支持烏克蘭。

　　沖突開始期間幾個組織和論壇的立場如下圖所示：

　　Freeud：具有清除功能的全新勒索軟件

　　卡巴斯基最近發(fā)現(xiàn)了支持烏克蘭的全新勒索軟件變種 Freeud,。Freeud的勒索信說俄羅斯軍隊應該離開烏克蘭,。單詞的選擇和筆記的書寫方式表明它是由以俄語為母語的人寫的。惡意軟件開發(fā)者的政治觀點不僅通過贖金票據(jù)表達,，還通過惡意軟件功能表達,。其中之一是清除功能。如果惡意軟件包含文件列表,，而不是加密,，惡意軟件會將它們從系統(tǒng)中清除。

　　另一個突出的特性是惡意軟件的高質(zhì)量,，其應用的加密方法和使用多線程的方式突出了這一點,。

　　GoRansom

　　GoRansom 于 2 月底在烏克蘭被發(fā)現(xiàn)，同時進行了 HermeticWiper 攻擊,。GoRansom 所做的一些事情與其他勒索軟件變體不同：

　　它會創(chuàng)建數(shù)百個副本并運行它們,；

　　函數(shù)命名方案參考美國總統(tǒng)選舉；

　　沒有混淆,，它具有非常簡單的功能,；

　　出于這些原因，我們認為它的創(chuàng)建是為了提高烏克蘭網(wǎng)絡行動的效率,。

　　Stormous

　　大多數(shù)情況下,，當我們分析 PHP 代碼時，它要么是 web shell,，要么是一些僵尸網(wǎng)絡面板代碼,。Stormous是少數(shù)例外,。除了作為后門之外，它還包含勒索軟件功能,。攻擊者尋找支持 PHP 技術的 Web 服務器和易受 Web 應用程序攻擊的漏洞,。

　　對惡意軟件的分析表明，攻擊者是來自北非地區(qū)的阿拉伯,。

　　PHP 腳本提供了一個通過 HTTP 進行遠程交互的 Web 界面,，其中提供了幾個加密選項：“OpenSSL”、“Mcrypt”和“Xor”,。很有可能是由于目標服務器的外部考慮因素,，比如運行在服務器上的PHP版本，所以將這三個擴展開發(fā)到腳本中,。

　　DoubleZero wiper瞄準烏克蘭

　　DoubleZero wiper最初由烏克蘭 CERT 于 3 月 22 日發(fā)布,。它是用 C# 編寫的全新wiper；它與任何其他已知的wiper都不同,，并且僅針對烏克蘭實體,。二進制文件本身被未知的 C# 混淆器嚴重混淆。類和方法名是隨機生成的,。

　　混淆

　　控制流是使用一種功能扁平化機制來組織的,，這種機制創(chuàng)建的目的是減緩對惡意代碼的分析。

　　混淆反編譯代碼

　　當所有的準備工作都結(jié)束后,，惡意軟件開始它的清除操作,。首先，它通過將文件夾名稱與硬編碼列表進行比較來檢查用戶（非系統(tǒng)文件）,，并開始使用一個非常有趣的NtFsControlFile API實現(xiàn)來清除它們,。

　　硬編碼的文件夾列表

　　文件清除

　　NtFsControlFile 例程將控制代碼直接發(fā)送到指定的文件系統(tǒng)或文件系統(tǒng)過濾器驅(qū)動程序，使相應的驅(qū)動程序執(zhí)行指定的操作,。如上圖所示,，控制代碼的值為622792 (0x980C8in十六進制)，對應 FCSTL 結(jié)構的 FSCTL_SET_ZERO_DATA 控制代碼,。文件中的數(shù)據(jù)將被 intPtr2 變量指向的零值覆蓋。如果函數(shù)失敗,，wiper 將執(zhí)行標準的 .Net FileStream.Write 函數(shù)用于相同目的,，然后惡意軟件會清除找到的系統(tǒng)文件。

　　最后,，惡意軟件會刪除 HKU,、HKLM 中的 Windows 注冊表樹子項，并阻止“l(fā)sass”進程以重新啟動受感染的設備,。

　　總結(jié)

　　近年來,，勒索軟件組織從零散的組織發(fā)展成為具有鮮明產(chǎn)業(yè)特征的企業(yè),。因此，攻擊變得更加復雜和更有針對性,，使受害者面臨更多威脅,。