勒索軟件新技術趨勢:間歇性加密
攻擊者正在大量應用間歇性加密來快速加密受害者的文件,這也是一個重大的賣點。
從兩方面來看,間歇性加密對勒索軟件運營者來說是非常重要的:
- 速度:完全加密是非常耗時的,而時間對攻擊者來說是非常重要的,加密速度越快就越能防止被檢測與攔截
- 逃避:防御者可以使用統計分析來檢測勒索軟件的加密操作,通過評估文件 IO 操作強度或文件修改的相似性可以進行檢測。與完全加密相比,間歇加密可以有效規避此類分析
2021 年夏天,LockFile 勒索軟件是首批引入間歇性加密技術的勒索軟件家族之一。后來,越來越多的勒索軟件都應用了這一技術。
Qyick 勒索軟件
2022 年 8 月末,研究人員發現一個名為 lucrostm 的用戶在地下犯罪論壇上宣傳一種名為 Qyick 的新型勒索軟件。
Qyick 勒索軟件是一次性買斷制,而非更常見的訂閱制。根據購買的級別,價格從 0.2 比特幣到 1.5 比特幣不等。賣家可以得到保證,如果勒索軟件在購買六個月內被安全軟件檢測到,攻擊者將會以六折到八折的價格提供一個新的樣本。
Qyick 勒索軟件廣告
Qyick 勒索軟件是用 Go 編寫的,并且具備間歇性加密功能。lucrostm 聲稱 Qyick 勒索軟件具備如此快的加密能力,就是通過間歇性加密實現的。
當前版本的 Qyick 并不具備數據泄露功能,但 lucrostm 表示未來將會新增執行任意可執行代碼的功能,主要用于數據泄露。
Agenda 勒索軟件
Agenda 勒索軟件在 2022 年 8 月首次被發現,主要針對非洲和亞洲的醫療保健和教育組織進行攻擊。該勒索軟件有一些自定義選項,包括更改加密文件的文件擴展名以及要終止的進程和服務列表。
Agenda 勒索軟件支持多種加密模式(skip-step、percent?和 fast),如下所示:
幫助信息
每種模式如下所示:
BlackCat 勒索軟件
BlackCat 勒索軟件在 2021 年底開始頻繁攻擊,也是第一個已知的使用 Rust 編寫的勒索軟件。BlackCat 背后的開發者于 2021 年 12 月初首次被發現在俄羅斯地下犯罪論壇上進行宣傳。
論壇信息
BlackCat 勒索軟件運行著勒索軟件即服務(RaaS),使用防彈主機來部署網站,并且使用比特幣混合服務來進行匿名交易。
ALPHV Collections 一個可搜索泄露受害者數據的數據庫
BlackCat 勒索軟件攻擊全球各種組織與企業,2022 年 9 月,BlackCat 勒索軟件針對意大利的國有能源服務公司 GSE 發起攻擊。
SentinelLabs 研究員 Aleksandar Milenkoski 對 BlackCat 勒索軟件樣本進行了逆向分析,加密模式如下所示:
加密模式信息
與完全加密相比,使用 Auto 模式的 BlackCat 勒索軟件可以顯著減少加密時間。
P=LAY 勒索軟件
該勒索軟件是勒索軟件領域的新玩家,于 2022 年 6 月下旬首次被發現。最近,該勒索軟件攻擊了多個知名目標,如 2022 年 8 月攻擊了阿根廷科爾多瓦法院。
勒索軟件勒索信息
與 Agenda 和 BlackCat 相比,該勒索軟件不可配置。其加密模式是固定的:
- 如果文件大小小于或等于 0x3fffffff 字節,加密 2 個塊
- 如果文件大小小于或等于 0x27fffffff 字節,加密 3 個塊
- 如果文件大小大于 0x280000000 字節,加密 5 個塊
分析時觀察到一個樣本每隔一個 0x100000 字節塊進行加密,該文件包含空字符串,可以有效區分加密塊與未加密塊。
加密文件的部分內容
Black Basta 勒索軟件
Black Basta 是一個 RaaS 程序,于 2022 年 4 月出現。Black Basta 勒索軟件接棒 Conti 勒索軟件出現,該勒索軟件采用 C++ 語言編寫。
Black Basta 在勒索軟件領域迅速占據了一席之地,兩周內公布了二十多個受害者,主要集中在公用事業、技術、金融和制造業。
Black Basta 網站
與 P=LAY 勒索軟件一樣,Black Basta 不具備可配置加密模式。其加密模式為:
- 如果文件大小小于 704 字節,完全加密
- 如果文件大小小于 4 KB,則從文件開頭開始跳過 192 字節并每 64 字節進行加密
- 如果文件大小大于 4 KB,則從文件開頭開始跳過 128 字節并每 64 字節進行加密
與 P=LAY 勒索軟件類似,由于包含空字符,使加密塊和未加密塊在視覺上更容易區分。
Black Basta 加密內容
結論
間歇性加密對于攻擊者來說是非常有用的,這種方法有助于規避勒索軟件檢測機制,更快地加密文件。研究人員預計,間歇性加密將會被更多勒索軟件家族所采用。
