勒索软件 CradleCore 源码已被公开销售,或衍生多种变体

Forcepoint 安全专家表示,CradleCore 作者正在许多地下犯罪论坛提供该勒索软件源码,允许犯罪分子请求代码定制版本,有别于典型的 ransomware-as-a-service ( RaaS ) 模式。

勒索软件 CradleCore 采用 C++ 源码,配合必要的 PHP Web 服务器脚本与支付面板。两周前,该款恶意软件售价 0.35 比特币(约合 428 美元),接收议价。

恶意软件开发者一般通过 RaaS 商业模式牟利。只有在具体做法不可行的情况下才会考虑出售恶意软件源码。据悉,该销售模式将导致 CradleCore 衍生更多变体。

CradleCore 功能相对完整,采用 Blowfish 进行文件加密,此外还允许离线加密。其恶意代码可以实现沙箱对抗机制并通过 Tor2Web 网关与 C2 服务器通信。调查表明,目标系统一旦感染,勒索软件 CradleCore 将对文件进行加密处理并向受感染系统发送 “ 死亡威胁 ”。加密后的文件被附加 .cradle 扩展名。

勒索软件 CradleCore 源码已被公开销售,或衍生多种变体

虽然 CradleCore 的广告网站托管在暗网上,但该网站的 Apache 服务器状态页面显示为可查询状态。日志显示,托管 Onion 网站的 Apache 服务器还有一个托管 clearnet 网站的虚拟主机( VHost ),允许多个网站托管在一台机器与一个 IP 地址之上。

Linode 分配的托管网站 IP 地址看似专用。这实质上意味着服务器或遭受入侵、被滥用托管 CradleCore 网站,或 clearnet 网站与 CradleCore 属于同一所有者。

由此看出,CradleCore 是又一款可供网络犯罪分子利用的新型勒索软件。作为源码销售的原因可能是作者对恶意软件商业模型了解有限,或为开发者寻找额外收入的首个项目或附加项目。也就是说,购买者不仅可以更新该款勒索软件,还可将源码分享至他人。

原作者:Pierluigi Paganini,译者:青楚,译审:游弋
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文链接

勒索软件 CradleCore 源码已被公开销售,或衍生多种变体

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论