freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

ALPHV BlackCat ——今年最复杂的勒索软件
2021-12-10 18:05:24
所属地 上海

据BleepingComputer网站报道,安全研究团队MalwareHunterTeam发现了一个新的勒索软件——ALPHV 。研究人员认为,这可能是今年最复杂的勒索软件,具有高度可定制的功能集,允许对各种企业环境进行攻击。

ALPHV首次发现时间是在今年11月,当时该软件正在某俄语黑客论坛上进行推广。ALPHV的可执行文件采用Rust 编写,这对于恶意软件开发人员来说并不常见,但由于其高性能和内存安全性,正越发受到青睐。

MalwareHunterTeam也将ALPHV命名为BlackCat,因为在Tor 支付站点都使用了相同的黑猫图标,而数据泄露站点使用了一把滴血的匕首。

Tor 支付和数据泄露站点上使用的图标

与其它所有勒索软件即服务 (RaaS) 操作一样,ALPHV开发者通过招募运营公司来执行犯罪行为。作为回报,这些公司可依据赎金的大小获得相应的分成,分成比重在80%到90%不等。

ALPHV勒索软件的功能

ALPHV 能从其他勒索软件操作中脱颖而出,就在于包括了众多高级功能。

ALPHV完全由命令行驱动,由人工进行操作,且高度可配置,能够使用不同的加密程序在计算机之间传播,能终结虚拟机和ESXi虚拟机,并自动擦除ESXi快照以防止恢复。

可以使用--help命令行参数找到这些可配置选项。

ALPHV勒索软件命令行参数

每个ALPHV勒索软件可执行文件都包括一个JSON配置,允许自定义扩展、赎金说明、数据如何加密、隐藏文件夹/文件/扩展,以及自动终止的服务和进程。根据发布者在黑客论坛上的描述,ALPHV没有使用任何模板或之前泄露的其他勒索软件的源代码,可以配置为使用五种不同的加密模式:

Full:全文件加密。最安全,最慢。

Fast: 加密前 N 兆字节。不推荐使用,这是最不安全的解决方案,但速度最快。

DotPattern:通过M 步加密 N 兆字节。如果配置不正确,Fast 的速度和加密强度都会变差。

Auto:根据文件的类型和大小,存储器(在 windows 和 * nix / esxi 上)选择最优的(在速度/安全性方面)处理文件策略。

-SmartPattern - 以百分比步长加密 N 兆字节。默认情况下,它从文件头开始每 10% 加密 10 MB。这是速度/密码强度比的最佳模式。

两种加密算法:

ChaCha20

AES

在自动模式下,软件会检测是否有AES硬件支持(存在于所有现代处理器中)并使用它。如果没有AES支持,软件会对文件进行ChaCha20加密。

ALPHV还可以配置域凭据,用于传播勒索软件和加密网络上的其他设备。之后,可执行文件会将 PSExec 提取到 %Temp% 文件夹,使用它将勒索软件复制到网络系统中的其他设备,并对这些设备远程加密。

在启动勒索软件时,附属公司可以使用基于控制台的用户界面,让他们能够监控攻击的进展。下图显示了使用修改后的可执行文件附加.bleepin扩展名加密一个测试设备时的进度页面。

正在加密计算机的进度页面

在测试的样本中,ALPHV会终止可能阻止文件被加密的进程和 Windows 服务,包括 Veeam、备份软件、数据库服务器、Microsoft Exchange、Office 应用程序、邮件客户端以及游戏玩家喜爱的Steam。在此过程中ALPHV还会清除回收站、删除卷影副本、扫描并连接到其他网络设备。

通常,在加密设备时,勒索软件会使用随机扩展名,该扩展名会附加到所有文件并包含在勒索信中。赎金票据以“ RECOVER-[extension]-FILES.txt”格式命名,赎金票据由执行攻击的运营公司预先配置,并且对于每个受害者都不同。一些赎金记录包括被盗数据的类型以及指向 Tor 数据泄漏站点的链接,受害者可以在其中预览被盗数据。每个受害者还有一个独特的 Tor 站点,有时还有一个独特的数据泄漏站点,允许运营公司进行一对一谈判。

ALPHV还声称支持多种操作系统,包括:

Windows 7 及更高版本系列(在 7、8.1、10、11;2008r2、2012、2016、2019、2022 上测试);XP 和 2003 可以通过 SMB 加密。

ESXI(在 5.5、6.5、7.0.2u 上测试)

Debian(在 7、8、9 上测试);

Ubuntu(在 18.04、20.04 上测试)

ReadyNAS、Synology

勒索软件专家和 ID 勒索软件创建者迈克尔·吉莱斯皮分析了勒索软件使用的加密程序,但未能找到任何可以免费解密的弱点。

访问令牌功能使谈判保密

一般而言,受害者在和勒索方进行谈判时,谈判信息有时会通过恶意软件分析站点泄露,对最终谈判结果构成影响。为了防止这种情况,ALPHV引入了一个在启动加密器时强制开启的命令行参数--access-token=[access_token]。该访问令牌用于创建所需的访问密钥,以进入该勒索软件Tor支付网站上的谈判。由于这个令牌不包括在恶意软件样本中,即使它被上传到恶意软件分析网站,如果没有实际攻击的赎金票据,研究人员也不会用它来访问谈判网站。

ALPHV Tor 支付网站

赎金从 40 万美元到数百万美元不等

据了解,自11月以来,ALPHV已对多个国家和地区发起了攻击,他们对受害者提出的赎金要求在40万美元到300万美元不等,可使用比特币或门罗币支付,但如果受害者使用比特币支付,还会额外收取15%的费用。由于门罗币被认为是一种隐私币且被美国政府禁止,一些受害者并不太容易能使用门罗币支付。

此外,ALPHV不接受受害者雇佣谈判公司进行谈判,否则会威胁删除数据或者故意将数据泄露,ALPHV强调更加直接的私人谈判。

总体而言,ALPHV一种高度复杂的勒索软件,攻击者清楚地考虑了攻击实施前后的各个方面。随着著名的BlackMatter 和 REvil 等在执法部门的打击下逐渐销声匿迹,勒索软件市场形成了大片空白,而ALPHV很可能就是填补这块空白的最佳候选者。

参考来源:https://www.bleepingcomputer.com/news/security/alphv-blackcat-this-years-most-sophisticated-ransomware/

# 系统安全 # 数据安全
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者