近几个月来,卡巴斯基发表了多篇安全研究报告,如关于针对巴西的恶意软件、关于CEO欺诈企图、关于Andariel、关于LockBit勒索家族等等。在这篇文章中,重点论述了LockBit勒索病毒新变种LockBit Green的相关报告。�����
最新研究:LockBit Green & Multi-platform LockBit
LockBit Green
LockBit是目前活跃且多产的勒索软件家族,他们攻击的目标������是世界各地的企业。随着时间的推移,他们采用了 B�����lackMatter 和 DarkSide 等其他勒索软件团伙的代码,使潜在的附属机构更容易操作勒索软件。
从今年2月开始,我们检测到一个新的变种,名为 "Lock�������Bit Green",它借用了现已解散的Conti团伙的代码。根据卡巴斯基威胁归因引擎(KTAE)������,LockBit包含了25%的Conti代码。
KTAE 显示了 LockBit Green 和 Conti 之间的相似之处
被采用的代码中,有三块非常突出:勒索软件说明、命令行选项和加密方案。采用赎金说明是最没有意义的,Lo�������ckBit这种行为让我们也摸不着头脑。在命令行选项方面,该小组添加了 Conti 的选项,以便在 Lockbit 中使用。Lockbit Gre��������en 中可用的所有命令行选项有:
|
命令行
|
功能性
|
|
-p folder
|
使用单线程加密选定的文件夹
|
|
-m local
|
加密多个线程中的所有可用驱动器,每个驱动器
|
|
-m net
|
加密多个线程中的所有网络共享,每个线程
|
|
-m all
|
加密多个线程中的所有可用驱动器和网络共享,每个线程
|
|
-m backups
|
标记无法在检测到的版本上使用,但在勒索软件内部进行编码
|
|
- size chunk
|
仅加密部分文件的功能
|
|
-log file.log
|
可以记录勒索软件执行的每个操作
|
|
-nomutex
|
跳过突变器的创建
|
最后,LockBit采用了Cont��i的加密方案。该小组现在使用自定义ChaCha8实现,使用随机生成的密钥和随机数来加密文件,并使用硬编码的公共 RSA 密钥保存�����/加密。
两个系列之间的二进制差异
多架构的LockBit
我们最近偶然发现了一个上传到多重扫描仪的 ZIP 文件,其中包含多种架构的 LockBit 示例,如 Apple M1、ARM v6、ARM v7、FreeBSD 等。那么��������,值得思考的问题就是“代码库相似性怎么样?”。
为此,我们使用了 KTAE:只需放入下载的 ZI������P 文件就可以看到所有样本均源自 LockBit Linux/ESXi 版本。
与 LockBit Linux 共享源代码
对样本的进一步分析使我们相信,LockBit正在各种架构上测试他们的勒索软件,而不是将其部署在野外。例如,macOS的样本是无符号的,所以它不能按原样执行。此外,字符串的加密方法很简单:一个字节的XOR。尽管如此,我们的发现表明,Lo�������ckBit将在不久的将来瞄准更多的野外平台。
回溯新型变种勒索软件LockBit Green的发展
|
恶意软件家族
|
LockBit
|
|
发布日期
|
2023年2月20日
|
|
威胁类型
|
勒索软件
|
|
描述
|
最近,LockBit 勒索软件组织发布了一种新的勒索软件,称为 LockBit Gree��������n。最新的变种是基于泄露的 Conti 勒索软件源代码。这也遵循 Lo������ckBit 从其他现有勒索软件创建新变种的趋势。例如,他们之前发布了 LockBit Black,它与 BlackMatter 勒索软件非常相似。
|
2022 年 2月,一位匿名人士使用 Twitter 账户“@ContiLeaks”发布了有关 Conti 组织的信息,包括 Jabber 聊天日志、有关其基础设施的详细信息、内部文档以及 Conti 勒索软件的源代码。2022 年 5 月,Conti 勒索软件组织决定重组并重新发起这一勒索软件。下图是Conti勒索软件和LockBit Green的主要功能代码,逻辑非常相似。此外,它们都使用相同的名为“h�����sfjuukjzloqu28oajh727190”的突变器。LockBit Green 使用新的基于������ Conti 的加密器。LockBit家族自己的加密器工作也是正常的,使用基于Conti的新加密器表明这两个勒索软件集团之间有合作。重用和改编竞争对手的源代码可以帮助减少开发成本和时间。
以下是LockBit 勒索软件家族的发展历史:
|
2019年9月
|
LockBit 攻击始于 2019 年。起初,����它被称为“ABCD 勒索软件”,后来更名为 LockBit。
|
|
2021 年 6 月
|
LockBit 2.0 于 2021 年 6 月出现,引入了双重勒索技术和跨 Windows 域的设备自动加密。
������
|
|
2021 年 10 月
|
LockBit 开始渗透 Linux 服务器,目标是 ESXi 服务器。LockBit 勒��������索软件组织还推出了 StealBit,一种用于加密的恶意软件工具。
|
|
2022 年 6 月
|
LockBit 3.0,也称为 LockBit Black,于 2�������022 年 6 月被发现,引入了第一个勒索软件漏洞赏金计划,并泄露了新的勒索策略和 Zcash 加密货币支付选项。LockBit 3.0 的代码与著名的 BlackMatter 和 DarkSide 勒索软件非常相似。
|
|
2022 年 9 月
|
2022 年 9 月,一名据称心怀不满的开发人员在 Twitter 上泄露了 LockBit 3.0 加密器的构建器。这对勒索软件组织来说是一个打击,因为构建工具的数据允许任何人使用加密器、解密器和专用工具启动自己的勒索软件套件,并以某些方式启动解密器。Bl00dy 勒索软件团伙使用泄露的构建工具开发�����了一种加密器,并将其用于对乌克兰企业的攻击。
|
|
2023 年 1 月
|
LockBit勒索软件团伙发布了LockBit Green,该������软件基于泄露的Conti勒索软件源代码。
��������
|
在这次勒索软件攻击中发现了两个样本。第一个样本LBB.malz是一个 32 位勒索软件,在 LockBit 系列中称为 LockBitBlack。样本分析可参见 。第二个样本LBG64.malz是一个名为 LockBit Green 的 64 位勒索软件,它是 LockBit ���3.0 的������新成员。下面主要针对LBG64.malz进行分析。
|
文件名
|
哈希值
|
编码时间
|
|
LBG64.malz
|
6147afcb98efab7f0621a910a843878c
|
2022/12/26
|
|
马尔兹LBG
|
426eea06802387c3a24e2eceb892600e
|
2022/7/14
|
LBG64.malz执行后,默认会为加密文件添加后缀“.fb7c204e”。勒索信息文件的名称为“!!!-Restore-My-Files-!!!.txt”,如下图所示。每个受害者都有一个唯一的 ID。受害者可以使用 Tor 浏览器或普通浏览器通过链接与攻击者取得联�����系。赎金票据没有说明赎金金额,但建议受害者不要联系网络保险公司和数据恢复组织,并解释了原因。
勒索信:!!!-Restore-My-Files-!!!.txt
加密文件
总结
企业勒索软件防御策略:
-
不要在外部网络上提供服务。如果非要打开,请使用强密码。
-
不要打开可疑的电子邮件,尤其是其中的链接和附件。在打开未知文件之前使用防病毒软件对其进行扫描(如果必须这样做)。
-
安装防病毒软件,定期进行系统扫描,删除检测到的威胁,并定期安装更新和补丁。
-
通过官方认证渠道下载产品,并使用官方开发者提供的工具/功能激活和更新产品。不建议使用非法激活工具和第三方下载程序,因为它们通常用于分发恶意内容。
-
对重要数据实施双备份策略或备份到云端。
本文作者:空城HC, 文章转载来自
