追踪已财富自由的DarkSide勒索软件 – 作者:深信服千里目安全实验室

勒索软件发展现状

如今越来越多的网络犯罪分子开始在网络攻击成功后部署勒索软件,这一普遍的获利趋势随着信息曝光确实会影响并引入一大批“有志于”从事该行业的攻击者逐步进入该领域。以前只有少数勒索家族活跃并出现在公众视线为大众熟知,而几个月前又出现了新的运营模式,据深信服安全团队监测到的诚如Dharma这个老牌的勒索软件运营商已创建了一个黑客工具包,并于黑客论坛发布了公开的帖子,吸引更多参与者分享战果。1600675022_5f685cce558036c2c9a3d.png!small1600675072_5f685d00b3d948697a8e6.png!small

这里介绍下这个老牌运营商的发展历史,据公开的信息统计,Dharma勒索软件是当今运营时间最长的勒索软件系列之一,自2016年3月左右起,以CrySiS为名称开始,但其主解密密钥于2016年11月在BleepingComputer论坛上的帖子中泄露。不久之后,勒索软件的新变体被发布,将.dharma扩展名附加到加密文件中。这些变体大概率是由于后续使用者购买源码进而修改分发的,从那时起,这个家族及其不断涌现的新变种就被称为Dharma。与其他针对大型企业的勒索软件即服务(RaaS)运营的勒索软件要求的十万至数百万美元的赎金不同,Dharma的赎金价格普遍较低,平均需求约为9,000美元。

该运营商基于勒索软件即服务(RaaS)提供了新工具包,与许多仅与经验丰富的黑客合作的私有勒索软件勒索软件即服务(RaaS)运营商不同,Dharma运营商提供了这种现成的工具包,该工具包允许任何想要进行非法目的人轻松入侵网络,其较低的价格可能反映出想要降低会员的进入门槛。通过提供工具包和使用方法文档,Dharma可以招募到更多潜在的会员。降低门槛势必会增加群体数量,因此如此庞大的用户群体使他们能够建立一个广泛的攻击网络,以抓住尽可能多的受害者。而受害者支付较小的赎金,随着累计则可能构成更大的金额,影响也会随之加大。

勒索软件市场收益

自2019年下半年以来,勒索软件的运营者正在如火如荼的入侵新的受害者并发布他们创纪录的勒索收益,由于市场规律的推动(巨大的利益回报),根据勒索软件事件响应公司Coveware的调查,部署勒索软件后勒索软件运营者将继续勒索机构,平均每年收入将达到近18万美元。到今年六月,平均收入金额比今年第一季度增加了60%。1600675107_5f685d235e82de56b04cc.png!small

这种影响力正在吸引着有着各种经验与技能的新玩家或者新选手,而已经熟练掌握并运用勒索软件生态系统的普通攻击者或者更高级的攻击者早已经尝试使用绑定数字货币的恶意软件和以数据泄露作为威胁的新谋利策略。

勒索软件运营策略

虽然全球新冠疫情的影响依然在持续,导致了一定程度的经济影响。但是对于网络世界里的攻击者而言却丝毫不受限制,反而愈演愈烈。据公开的信息得知,除了只加密文件后等待受害者付款获取解密工具外,Maze 勒索软件的运营者早于去年就已经采用新的方式来勒索受害者,如果原来的方式不足以强制让你付赎金,那就换一种方式进行勒索。由于始终有一部分受害者不会因为文件被加密而向攻击者付款解密文件,随着时间的推移,攻击者发明了新的方法来勒索受害者,他们会保存重要文件的未加密副本或使用某种回滚技术将系统还原到攻击前的状态。勒索软件在部署前会先窃取相关数据,如果受害者不付款,攻击者就会威胁要公开数据。于是在2019 年的最后一个季度,Maze勒索软件的运营者引入了上述这种新的勒索方式。而且自从它引入这种方式以来,许多其他流行勒索软件家族也开始逐步采用这种方式。除了Maze外,还包括Clop、Sodinokibi(REvil)和DoppelPaymer。

随着Maze勒索软件活动逐渐加大,原有的运营模式无法满足于现今的收益情况。俗话说众人拾柴火焰高,为了寻找利益最大化,Maze勒索软件运营者已正在通过共享的数据泄漏平台以及战术和情报交流吸引合作者来共同勒索受害者,以期望获得最大利益。

之前提到为了给受害者施加压力,Maze勒索软件运营者创建了一个自动发布泄露数据的站点。2020年6月份一家国际建筑公司的数据被发布到Maze的数据泄露站点上,但是这些数据非Maze勒索软件窃取并发布,而是来自LockBit勒索软件运营者发布。随后Maze勒索软件运营者公开表示他们正在与LockBit勒索软件运营者合作,允许他们在数据泄露站点发布被窃取的数据,随后Ragnar Locker勒索软件运营者表示也加入了Maze主导的这种策略。

近期新出现的SunCrypt勒索软件表示已加入上述成立的Maze联合组织,SunCrypt勒索软件运营者目前已经成为他们的新成员,作为组织的一部分,他们具有“双向通讯渠道”,意味着情报与资源可以共享。据公开的信息得知,SunCrypt勒索软件于2019年10月开始出现,但并不十分活跃。在整个攻击与获利过程中,Maze组织并不是擅长各个方面,为了获取最大的利益同时也为了壮大力量,正好此时的SunCrypt团伙主要专长是勒索软件攻击,两个组织一拍即合,随机展开了双向合作,并一起分享获得的收益。作为大型勒索软件组织的一员,自然也建立了自己的数据泄露站点。目前,据统计SunCrypt数据泄漏站点上已列出了九名受害者以及存在的敏感数据文件。1600675199_5f685d7f36c6061b92016.png!small

勒索软件新威胁效果

之前已监测并得到【教育机构已成勒索软件攻击重灾区】这一事件情报结论,主要是近期位于美国犹他州大学的社会与行为科学(CSBS)学院计算服务器经历了勒索软件攻击,其服务器暂时无法访问。该大学已通知了执法机构,该机构的信息安全办公室(ISO)与专门应对勒索软件攻击的外部公司进行了协商,调查并解决了该事件。1600675219_5f685d93f1aa7555f6ce6.png!small

犹他大学的管理层公开承认即使使用以前的备份恢复了加密文件(说明可以减少甚至是消除文件加密的影响),但最后还是为了防止攻击者泄露学生 数据,迫于无奈不得不向勒索软件团伙支付了457,000美元,显而易见这是一个使用“泄漏站点”和“双重勒索”对受害者施加压力的一个很好的例子。1600675279_5f685dcf1b3190b6bf866.png!small

流行勒索软件攻击情况

深信服安全团队目前监测到的已经采用上述方式二次勒索受害机构的流行勒索软件家族统计数据如下图,其中包括Maze、Sodinokibi、DoppelPaymer、Conti、Netwalker、Pysa、Nefilim、Clop、Ako、Suncrypt、Ragnar_Locker、Sekhmet、Avaddon、DarkSide,可以清晰地发现本文追踪的勒索软件DarkSide也已榜上有名。1600675381_5f685e35369c39e411c83.png!small

DarkSide勒索软件简介

上述介绍了近几年勒索软件的发展历程与一些运营收益情况,主要是为了让一开始接触当前流行勒索软件家族时能有个更清晰的认识与感受,现在是时候出现这次的主角DarkSide了。2020年8月深信服安全团队监测到一个新的流行勒索软件家族出现,且自称为DarkSide,命名来源于攻击者运营的站点名称Darkside,得知该运营团队同样通过定点攻击机构来获利。1600675406_5f685e4ec934aa014ee41.png!small

DarkSide勒索软件加密方式

深信服安全团队在捕获相关样本后对其进行了深度分析发现暂无缺陷,无法采用非正常方式对其解密。采用RtlRandomEx产生随机数拼接得到0x40大小字节数据作为初始密钥,每个待加密文件都存在唯一的密钥,之后被内置的RSA-1024公钥进行加密,对文件采用Salsa20算法进行加密完成后,后续将0x90大小字节数据(被RSA加密后的密钥)写入文件末尾,由于RtlRandomEx为微软官方提供的安全随机数,以及RSA1024算法的公开特性,暂无法对其破解解密。

DarkSide勒索软件加密结果

该勒索软件文件加密结果如下,后缀名是不唯一的,采用与受害机器信息有关的信息来随机选取。1600675448_5f685e78d37a6d08cb0c7.png!small

DarkSide勒索软件勒索信

释放的勒索信格式如下:1600675464_5f685e88a9eff946e4d0e.png!small

勒索信的具体内容如下,与以往的流行勒索软件家族不同的是DarkSide在一开始就已经朝着这种先窃密后勒索的手法运营了,已直接了当地表明在内容中。1600675498_5f685eaad552e4bd3bf8b.png!small

通过之前监测到的情报【Avaddon勒索软件启动数据泄漏站点以勒索受害者】可以进行对比,流行勒索软件家族Avaddon一开始并没有着急发布相关数据泄露站点,而是在有了一定的活跃时间与攻击成果后,才慢慢地开始启动数据泄露站点,而Avaddon勒索软件也是最近几个月新出现且流行的勒索软件家族,之前深信服安全团队已经对此新出现的勒索软件进行了分析与追踪。

【流行威胁追踪】分析Avaddon勒索软件新变种

【流行威胁追踪】干柴遇烈火,Avaddon勒索软件遇Excel 4.0宏

该勒索运营商在俄语论坛上宣布,他们已经启动了一个新的数据泄漏站点,目前经追踪发现最新泄露的数据来源于斯诺伐克的一家制造业公司。1600675698_5f685f722ba934a708b38.png!small

对于DarkSide运营者一开始就急忙推出数据泄露站点,可以猜测这种运营方式对于他们来说已经十分成熟,或者说充满信心,作为诸如Maze勒索运营方式后继者的DarkSide一开始就野心勃勃奔着最大利益出发。随着数据泄露站点的发布,表明该运营团伙已将勒索软件攻击升级,后续还应当会有更多活动痕迹,我们会持续关注追踪该勒索家族的发展。

将勒索信中提供的Key值输入该站点后,便会给受害者呈现详细的数据恢复方式与需要的赎金金额。1600675758_5f685fae54d0a5a7bce44.png!small

页面已经存在属于受害者单独的数据泄露地址,还留有需要付款的对应比特币与门罗币地址,提醒了如果付款时间到期后相应的赎金价格会增加,右边是提供的实时聊天窗口,还存留相关的历史记录,这个站点的功能布局与Sodinokibi(REvil)差不多。1600675778_5f685fc2d66c26484685d.png!small

让人感觉很惊讶的部分是该处运营者表明了一些观点与可能的身份,如下。1600675796_5f685fd4aa5b245e24ede.png!small1600675804_5f685fdcaa58163d543b4.png!small

比如,新出现的DarkSide勒索软件并不是一群毫无经验的运营者,在此之前就已作为其他勒索软件家族的隐秘合作方进行过合作与实践,不过当时并没有曝光并崭露头角。从获利情况看,单单作为隐秘合作者就已有相当巨大的利益回报,可想而知作为主导者其获取的利益肯定不会低于这个数量。从自立门户创建DarkSide这一新的勒索软件来看,他们对这块很有信心,同时也预示着未来该家族导致的这类攻击活动暂不会停止。

运营者于2020年8月10日发布该公告,说明在这个月就已经开始对众多公司进行有针对性的攻击了。运营者表示,他们不针对以下类型的组织,如医学(医院,招待所)、教育(学校,大学)、非营利组织、政府部门。不过目前还不能确定,因为在此之前就已有Netwalker勒索软件运营者表示不针对某些行业机构却后续发现该类机构已经遭到Netwalker勒索软件攻击的食言案例出现,陌生的网络世界里有时候攻击者的声明是无效的,而眼前的利益高于一切。

在撰写本文之前,我们持续监测下并没有发现存在数据泄露的事件,如下。1600675891_5f6860333a11f9cd2292e.png!small

而当DarkSide勒索软件在其站点发布了新的数据泄露页面后,我们监测到数据泄露站点列出了一家企业相关信息与泄露的数据,经过核查发现袭击了某地区房地产开发商,如下。1600678290_5f686992c4a9a036073ca.png!small1600678296_5f6869988de36eb097b9e.png!small

据公开的信息得知,本次DarkSide勒索软件的首批受害者是某土地开发商和房屋建筑商企业,其资产达57亿美元。与其他人为操纵的勒索软件一样,DarkSide将破坏网络并在设备之间横向传播,同时窃取未加密的数据。攻击者一旦获得Windows域控制器的访问权限,便会在整个网络中部署勒索软件。作为勒索策略的一部分,DarkSide将为每个受害者的数据泄露站点上的被盗数据创建一个条目。在一定时间后,数据泄漏站点将开始发布被盗数据,以便有权访问该站点的任何人都可以下载它,目前已经存在泄露公开了一部分数据。1600678311_5f6869a79edb073d87142.png!small

值得注意的是,正常加密文件过程中会产生日志文件便于查看实际加密效果,这里通过产生的详细运行日志可以判定大概率是手工执行的,也符合定点攻击后手工部署勒索软件的行为。1600678325_5f6869b5312e3daab2a06.png!small

加密文件的过程中会终止一些进程,如图中的TeamViewer,TeamViewer是一个能在任何防火墙和NAT代理的后台用于远程控制的应用程序,桌面共享和文件传输的简单且快速的解决方案。为了连接到另一台计算机,只需要在两台计算机上同时运行 TeamViewer 即可,而不需要进行安装(也可以选择安装,安装后可以设置开机运行)。避免终止TeamViewer进程的情况在目前已知的勒索软件发现的相同行为中并不普遍,可以判断攻击者正在使用TeamViewer远程访问计算机,也符合上述写到的手工部署勒索软件的行为。1600678336_5f6869c0f11939b82d7ac.png!small

从站点链接里提供的id值观察,由于是针对具体攻击而定制化的勒索软件,所以释放的勒索信中会存在当次数据泄露产生的id值,从已经成功发布的数据泄露页面的id值可以发现,下图id值为8则不存在,而id值为7已经存在数据页面,可以判断该运营者已经部署了多达7次的勒索软件攻击。1600678360_5f6869d8a98761afb7047.png!small

随着定点攻击愈演愈烈,虽然不知道此次DarkSide勒索软件团伙要求多少赎金,但可以窥探的是以前的受害者表示就已要求赎金200万美元。由于该企业的失窃数据将于时间到期后在DarkSide的数据泄漏站点上发布,因此企业支付赎金存在不确定性。当然这仅仅是DarkSide发布的第一个受害者,至于后续发展目前还未得知。1600678414_5f686a0ed6d1c59e3a6ac.png!small

情报关联

我们之前已经分析过DarkSide勒索软件,其中通过动态解析调用的API函数可知,该勒索软件后续会检查受感染的计算机,以确保它们不在独立国家联合体(CIS)的成员国里。独联体成员国包括有俄罗斯联邦、白俄罗斯共和国、摩尔多瓦共和国、亚美尼亚共和国、阿塞拜疆共和国、塔吉克斯坦共和国、吉尔吉斯斯坦共和国、哈萨克斯坦共和国、乌兹别克斯坦共和国,而Sodinokibi(REvil)与GandCrab勒索软件同样也存在该类检查,对于处于独立国家联合体(CIS)的成员国的计算机则不予感染加密。随着该类存在地区豁免的恶意文件的不断出现,会让人不得不引起关注与推断猜测。1600678626_5f686ae2e51726b51b628.png!small

为何会排除独立国家联合体(CIS)成员国?

恶意软件家族背后的开发人员倾向于不感染独立国家联合体(CIS)成员国的计算机的主要原因是诸如一些政府对国民实施的网络犯罪会视而不见,只要攻击者针对的目标是外国人即可,其中一部分原因是该国的法律法规历来对于此类活动难以起诉。只要该国及其利益没有受到损害,对该类网络犯罪的打击力度就不会明显,这就是为什么互联网搜索该类新闻的结果会多数显示在美国或欧洲被通缉的网络犯罪分子。

此外,似乎有些原因是该国相关机构不会将这些人绳之以法,而是会利用他们的专业知识来补充自己的网络战人员储备以及网络窃密活动。在攻击者不损害本国利益的前提下,似乎就可以拥有豁免权。因此,与大多数认为网络犯罪分子是需要惩罚并制止的想法相比,成为该类型的攻击者似乎更安全更有保障。

总结:攻击外国目标的该国人几乎不会在国外受到起诉的风险,因为该国政府不会引渡其公民。但是,任何选择入侵该国且属于国内的黑客都将面临来自该国的惩罚。

与Sodinokibi(REvil)关系密切

在分析DarkSide时,发现它与REvil勒索软件有一些相似之处。前面已提及到,他们的数据泄露站点功能布局上是存在相似的,而最明显的相似之处是两者释放出的勒索信,从下图可以看出使用的是几乎相同的模板,除了DarkSide一开始就提示用户数据已被窃取的部分提示内容外,其余内容与Sodinokibi(REvil)勒索信特别相似。1600678685_5f686b1d0762091ac0245.png!small

对DarkSide分析过程中,发现它在执行后会解密并执行PowerShell命令。最终可以发现此PowerShell命令是用于在加密之前删除计算机上的卷影副本,防止受害者通过备份恢复已加密的文件。实际命令解码后如:Get-WmiObject Win32_Shadowcopy | ForEach-Object {$_.Delete();}

如下图,通过对比,我们发现使用PowerShell执行上述命令与Sodinokibi(REvil)采用的方法相同。1600678728_5f686b481e3e489920933.png!small

总结

DarkSide虽然是一个新出现的流行勒索软件家族,但是我们可以发现的是它的运营者是之前全球流行勒索软件的一些隐秘合作者,目前来看,DarkSide属于其中的分支。DarkSide于2020年8月份被发现,接连进行了多达7次的定点定向攻击后,终于有了受害者,并且在发布的数据泄露站点公布了受害者信息。依据之前提及的它与Sodinokibi(REvil)存在一些相似性,也可以做出假设,他们之间或多或少存在一定的联系,也符合一开始就表明在发布DarkSide勒索软件之前就已是全球流行勒索软件的隐秘合作者。虽然赚了数百万美元的利润,但是仍不满足,基于从攻击者的角度来说单干会比合作时会收益更多这一想法,接着一开始就推出的数据泄露站点也表明该运营团伙不是新选手。随着勒索软件攻击升级,后续还应当会有更多活动痕迹,我们会持续关注追踪该勒索软件家族的发展。

威胁情报

HASH

加壳

编译时间

大小

f87a2e1c3d148a67eaeb696b1ab69133

UPX

2020/8/8 14:33

17408 bytes

c81dae5c67fb72a2c2f24b178aea50b7

Obsidium

2020/8/8 14:33

232256 bytes

130220f4457b9795094a21482d5f104b

2020/8/8 14:33

53248 bytes

ec0e75c477fc54c92c47788bb9ccc034

ENIGMA

2020/8/8 14:33

1124864 bytes

比特币地址:

bc1qena2vfl7xhc5ad7q06eeuyd563ykxmwardnt2d

门罗币地址:

86R5YKD3DbMTJ1mgqiYjjsVULxwcxN5h5YyJt7Sz4B2oZEpZCnGBDZY4DG293xeeZSeF6iaDJqAoRVMeQXgUNM5x3fzyZru

参考文章

https://www.bankinfosecurity.com/ransomware-darkside-debuts-script-kiddies-tap-dharma-a-14874

https://blog.malwarebytes.com/threat-spotlight/2020/05/maze-the-ransomware-that-introduced-an-extra-twist/

https://www.coveware.com/blog/q2-2020-ransomware-marketplace-report

https://attheu.utah.edu/facultystaff/university-of-utah-update-on-data-security-incident/

https://securityboulevard.com/2020/08/exorcist-ransomware-and-cis-exclusion/

来源:freebuf.com 2020-09-21 17:16:27 by: 深信服千里目安全实验室

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论