近日，Palo Alto Networks公司Unit 42的最新研究已經確定了4個新興勒索軟件組織，并表示未來它們完全有潛力成為更大的麻煩。這些組織分別為Avoslocker、Hive Ransomware、Hellokitty以及Lockbit 2.0。

[[420121]]

新興勒索軟件威脅組織

安全公司Palo Alto Networks在其最新報告《值得注意的勒索軟件組織：新興威脅》中表示，

“隨著REvil以及Darkside等主要勒索軟件組織瓦解或重組以逃避執法機構和媒體的目光，新群體將不斷涌現，以取代那些不再積極鎖定受害者的組織。”

在該研究中，威脅情報分析師Doel Santos以及主要威脅研究人員Ruchna Nigam就4個勒索軟件組織的行為進行了詳細闡述。

AvosLocker

AvoSlocker首次出現于2021年7月，它是一個“勒索軟件即服務”(RaaS)組織，由Avos控制，主要通過暗網討論論壇Dread宣傳其服務。其贖金通知中包括用于識別受害者的信息和ID，以及指導感染者訪問Avoslocker Tor站點進行恢復和數據復原的指南。該研究指出，AvoSlocker的贖金要求從50,000美元到75,000美元(以門羅幣形式)不等，并且已經在全球7個組織中發現了感染案例。

Hive Ransomware

研究稱，Hive Ransomware于2021年6月開始運營，主要針對醫療保健組織以及其他配置薄弱無法抵御網絡攻擊的企業。該組織在其泄露網站Hive Leaks上公布了首個受害者信息后，又陸續發布了另外28個受害者的詳細信息。研究人員稱，

“當執行該勒索軟件時，它會drop兩個批處理腳本，第一個腳本hive.bat會嘗試刪除自身，而第二個腳本負責刪除系統的影子副本(Shadow.bat)。Hive RansomWare將[隨機字符].hive extension添加到加密文件中并留下標題為‘HOW_TO_DECRYPT.txt’的贖金通知，其中包含防止數據丟失的說明和操作指南。”

受害者通過贖金通知中的操作指南與攻擊者討論解密細節。研究人員無法確定該勒索軟件的確切交付方式，但他們認為諸如憑證暴力破解或魚叉式釣魚等傳統手段應該都有發揮作用。

HelloKitty：Linux版本勒索軟件

Hellokitty家族最早出現于2020年，主要針對Windows系統。它以使用Hellokittyex而得名。2021年，Palo Alto檢測到一個Linux(ELF)樣本，名為“funny_linux.elf”其中包含一個贖金通知，該贖金通知的措辭與之后發現的HelloKitty for Windows樣本相匹配。3月份，該勒索軟件組織開始瞄準ESXi，這也是最近Linux勒索軟件變體的選擇目標。研究人員表示，

“奇怪的是，攻擊者在不同樣本的贖金通知中共享的首選通信模式是Tor URL和特定于受害者的ProtonMail電子郵件地址間的混合。這可能表示不同的攻擊活動甚至完全不同的威脅行為者使用了相同的惡意軟件代碼庫。”

研究觀察到，該勒索軟件組織使用橢圓曲線數字簽名算法(ECDSA)加密文件，而從該團體觀察到的最高贖金要求為1000萬美元(以門羅幣形式)。

LockBit 2.0

LockBit 2.0以前名為ABCD ransomware，同樣是以勒索軟件即服務(RssS)模式運行的組織。雖然早在2019年就開始活躍，但Palo Alto最近發現其攻擊方法已經發生了變化，而且其運營者還聲稱，他們當前的變體是操作中最快的加密軟件。自6月以來，該組織已經攻擊了全球52個組織。研究人員表示，

“威脅行為者在泄漏網站上的所有帖子中都放置了倒計時，直到保密信息發布給公眾，這為受害者制造了額外的壓力。”

一旦執行操作，Lockbit 2.0就會立即開始文件加密并附加.lockbit擴展。加密完成后，標題為Restore-My-files.txt的贖金通知會告知受害者攻擊事實并提供有關解密步驟的建議。

參考：csoonline