新闻资讯
全部分类

间歇性加密成为勒索软件新趋势

  • 分类:行业洞察
  • 作者:
  • 来源:
  • 发布时间:2022-09-15 17:56
  • 访问量:

【概要描述】

间歇性加密成为勒索软件新趋势

【概要描述】

  • 分类:行业洞察
  • 作者:
  • 来源:
  • 发布时间:2022-09-15 17:56
  • 访问量:
详情

研究发现,越来越多的勒索软件组织正在采用一种新策略,名为间歇性加密,这种加密方法可更快的加密受害者系统,同时有助于勒索软件组织逃避检测系统,并减少被阻止的几率。间歇性加密只加受害者文件的部分内容,但如果不使用有效的解密程序或秘钥,仍然无法恢复数据。勒索软件开发人员越来越多地采用该功能,并大力宣传间歇性加密,以吸引买家或关联公司。

从快速和逃避的角度来看,间歇性加密对勒索软件组织很重要。加密是一个耗时的过程,而时间对于勒索软件组织来说至关重要,加密受害者文件的速度越快,在此过程中被检测和阻止的可能性就越小。间歇性加密会在很短的时间内造成不可挽回的损害。

勒索软件检测系统可能会使用统计分析来检测勒索软件操作。这种分析可以评估文件IO操作的强度或未受勒索软件影响的文件的已知版本与文件的可疑修改、加密版本之间的相似性。与完全加密相比,间歇加密有助于规避此类分析,因为表现出文件IO操作的强度显著降低,并且给定文件的非加密版本和加密版本之间的相似性要高得多。

LockFile勒索软件是在2021年中首批使用间歇性加密来逃避检测机制的主要勒索软件之一,每隔16个字节加密一次文件。此后越来越多的勒索软件组织加入了这一趋势,包括Qyick、Agenda、BlackCat(ALPHV)、PLAY和Black Basta。

 

一、Qyick勒索软件

2022年8月底,一个名为lucrostm的用户在一个流行的基于TOR的犯罪论坛上宣传一款名为Qyick的新商业勒索软件。Sentinel Labs研究人员跟踪了与其他恶意工具供应商相同的用户,包括远程访问工具和恶意软件加载程序。
Qyick勒索软件产品是一次性购买,而不是订阅模式。价格范围从0.2比特币到1.5比特币不等,具体取决于买家需要的定制级别。买家会收到一个编译好的可执行文件,并保证如果勒索软件在购买后6个月内被安全软件检测到,开发者将提供一个新样本,折扣在原价的60%到80%之间。

Qyick是用Go编写的,具有间歇性加密功能。lucrostm声称,Qyick勒索软件的快速是通过使用间歇性加密和勒索软件在Go中实现的,这暗示了当前勒索软件威胁场景中间歇性加密的趋势。
Qyick勒索软件宣传声称,“值得注意的是,Qyick具有间歇性加密功能。这正是酷孩子们正在使用的。再加上用Go编写的事实,速度是无与伦比的。”

随着样本的可用,Qyick进行间歇性加密的确切方式有待研究。当前版本的Qyick没有数据泄露功能,然而lucrostm宣布未来版本将具有执行任意代码的功能,主要用于执行数据泄露功能。

 

二、Agenda勒索软件

Agenda勒索软件于2022年8月首次被发现,是用Go编写的,主要用于针对非洲和亚洲的医疗保健和教育组织。该勒索软件有一些自定义选项,包括更改加密文件的文件扩展名,以及要终止的进程和服务列表。
Agenda勒索软件支持多种加密模式,勒索软件组织可以通过加密设置进行配置。Help屏幕显示了不同加密模式,包括skip-step、percent和fast。

 

三、BlackCat勒索软件

BlackCat(或ALPHV)勒索软件于2021年底开始活跃,是已知第一个用Rust编程语言编写的勒索软件。BlackCat背后的开发者于2021年12月初首次被发现在俄罗斯地下论坛上宣传其服务。
ALPHV威胁组织运行勒索软件即服务(RaaS)计划,并与附属公司分享赎金。ALPHV使用防弹主机来托管其网站,并使用比特币混合器来匿名交易。

ALPHV威胁组织是勒索计划的早期采用者,例如通过DDoS攻击威胁受害者、在线泄露数据、以及威胁受害者组织的员工和客户。全球主要组织和企业已成为BlackCat勒索软件的攻击目标,例如2022年9月,BlackCat勒索软件针对意大利的国有能源服务公司GSE。

SentinelLabs研究人员Aleksandar Milenkoski对BlackCat勒索软件样本进行了逆向工程,并发现了BlackCat支持的不同加密模式,其中大部分实现了间歇加密。

一项针对不同大小的文件进行BlackCat勒索软件的评估研究表明,包括50MB、500MB、5GB和50GB的文件,使用间歇性加密可能对威胁行为者有很大好处。例如与完全加密相比,使用自动文件加密模式加密文件,会显著减少文件加密的时间,加密5GB的文件仅需8.65秒,处理50GB大小的文件时间缩短至1.95分钟。挂钟处理时间是勒索软件处理文件所花费的总时间,以秒为单位,包括读取、加密和写入文件内容。

BlackCat包含一些用于最大化加密速度的内部逻辑。如果受害者的平台实现AES硬件加速,勒索软件会使用高级加密标准(AES)加密算法对文件进行加密。如果没有,勒索软件会退回到完全在软件中实现的ChaCha20算法。


 

四、PLAY勒索软件

PLAY勒索软件于2022年6月下旬首次被发现。该勒索软件最近攻击了一些知名目标,例如2022年8月攻击了阿根廷科尔多瓦法院。PLAY的勒索信件由一个PLAY单词和联系电子邮件地址组成。
与Agenda和BlackCat相比,PLAY勒索软件不具有可由操作员配置的加密模式。PLAY根据加密文件的大小编排间歇性加密,加密0x100000字节的块,即文件部分。

例如在某些条件下,如果文件大小小于或等于0x3fffffff字节,PLAY勒索软件会加密2个块。如果文件大小小于或等于0x27fffffff字节,PLAY勒索软件会加密3个块。如果文件大小大于0x280000000字节,PLAY勒索软件会加密5个块。
研究人员观察发现,样本每隔一个0x100000字节块加密一次,直到文件结束。该文件仅包含空字符,这有效地使加密和未加密的块在视觉上可以区分。


 

五、Black Basta勒索软件

Black Basta是一个RaaS项目,于2022年4月出现,其勒索软件样本可追溯到2022年2月。目前的情报表明,Black Basta是从Conti组织的成员演变而来的。该勒索软件采用C++编程语言编写,支持Windows和Linux操作系统。Black Basta运营商使用双重勒索计划威胁受害者组织,如果受害者不支付赎金,就会在威胁组织基于TOR的网站Basta News上泄露窃取的数据。

Black Basta在勒索软件领域迅速崛起,并以全球主要组织为攻击目标,勒索软件行动在其成立后的两周内在Basta News上报告了20多个受害组织。在早期,攻击目标主要集中在公用事业、技术、金融和制造业。例如德国主要建筑材料制造商KNAUF在2022年6月下旬遭受了Black Basta附属公司的攻击。
与PLAY勒索软件一样,Black Basta不具备勒索软件运营人员可以配置的加密模式,而是根据被加密文件的大小编排间歇性加密。

如果文件大小小于704字节,则Black Basta加密所有文件内容。如果文件大小小于4KB,则从文件开头开始跳过192字节,Black Basta加密每64字节。如果文件大小大于4KB,则从文件开头开始跳过128字节,Black Basta加密每64字节。
分析表明,对于大小大于4KB的文件,Black Basta勒索软件加密了64字节部分,每个部分之间的间隔为128字节,直到文件结束。与PLAY勒索软件类似,该文件仅包含空字符,使加密和未加密的块在视觉上可以区分。


 

六、缓解措施

间歇性加密对于勒索软件运营商来说是一个非常有用的工具。这种加密方法有助于规避一些勒索软件检测机制,并更快地加密受害者的文件。鉴于这种加密方法对威胁行为者的重大好处,同时实施起来也很实用,预计间歇性加密将继续被更多勒索软件家族采用。

建议采取以下防御措施,以阻止和限制勒索软件攻击的影响:
加强安全意识。加强网络安全意识培训,提升网络安全意识,增强网络网络防范技能,养成良好的上网和操作习惯、学会最基本的安全设置,了解最基本的安全知识。开发和测试环境要与生产环境分开,防止勒索软件从开发和测试系统传播到生产系统。

定期数据备份。重要的文件、数据和业务系统要定期进行备份,并采取隔离措施,严格限制对备份设备和备份数据的访问权限,防止勒索软件横移对备份数据进行加密。

使用防火墙。天地和兴防火墙可对应用控制、安全防护、病毒检测、精准流控、可视化运维等进行多方面防护。天地和兴防火墙通过自主研发的深度检测技术,实时监控现有网络环境。结合内置的应用识别特征库,精准识别威胁、拦截阻断,及时保护整体网络环境。

制定响应计划。针对重要信息系统,制定勒索软件应急响应预案,明确应急人员与职责,制定信息系统应急和恢复方案,并定期开展演练。制定应急响应流程,分析清楚攻击入侵途径,并及时加固堵塞漏洞。

保持系统更新。定期更新组织所有操作系统、应用程序和软件。应用最新更新有助于修复攻击者希望利用的安全漏洞。实施应用程序白名单和软件限制策略,以防止在常见勒索软件位置中执行程序,例如临时文件夹。

限制网络访问。使用代理服务器访问互联网,限制对常见勒索软件入口点的访问,许多勒索软件变体利用远程桌面协议(RDP)端口3389和服务器消息块(SMB)端口445。

进行网络分段。加强网络隔离,使用网络分段、网络划分等技术实现不同信息设备间的网络隔离,禁止或限制网络内机器之间不必要的访问通道。严格远程访问管理,限制对重要数据或系统的访问。


参考资源:
【1】https://www.sentinelone.com/labs/crimeware-trends-ransomware-developers-turn-to-intermittent-encryption-to-evade-detection/

 

相关文件

暂时没有内容信息显示
请先在网站后台添加数据记录。
天地和兴

公司总部:北京市海淀区西北旺东路10号院博彦科技大厦C座6层

服务热线:400-810-8981 /  010-56380988

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号