据BleepingComputer网站报道,安全研究团队MalwareHunterTeam发现了一个新的勒索软件——ALPHV 。研究人员认为,这可能是今年最复杂的勒索软件,具有高度可定制的功能集,允许对各种企业环境进行攻击。
ALPHV首次发现时间是在今年11月,当时该软件正在某俄语黑客论坛上进行推广。ALPHV的可执行文件采用Rust 编写,这对于恶意软件开发人员来说并不常见,但由于其高性能和内存安全性,正越发受到青睐。
MalwareHunterTeam也将ALPHV命名为BlackCat,因为在Tor 支付站点都使用了相同的黑猫图标,而数据泄露站点使用了一把滴血的匕首。
△ Tor 支付和数据泄露站点上使用的图标
与其它所有勒索软件即服务 (RaaS) 操作一样,ALPHV开发者通过招募运营公司来执行犯罪行为。作为回报,这些公司可依据赎金的大小获得相应的分成,分成比重在80%到90%不等。
ALPHV勒索软件的功能
ALPHV 能从其他勒索软件操作中脱颖而出,就在于包括了众多高级功能。
ALPHV完全由命令行驱动,由人工进行操作,且高度可配置,能够使用不同的加密程序在计算机之间传播,能终结虚拟机和ESXi虚拟机,并自动擦除ESXi快照以防止恢复。
可以使用--help命令行参数找到这些可配置选项。
△ ALPHV勒索软件命令行参数
每个ALPHV勒索软件可执行文件都包括一个JSON配置,允许自定义扩展、赎金说明、数据如何加密、隐藏文件夹/文件/扩展,以及自动终止的服务和进程。根据发布者在黑客论坛上的描述,ALPHV没有使用任何模板或之前泄露的其他勒索软件的源代码,可以配置为使用五种不同的加密模式:
· Full:全文件加密。最安全,最慢。
· Fast:加密前 N 兆字节。不推荐使用,这是最不安全的解决方案,但速度最快。
· DotPattern:通过M 步加密 N 兆字节。如果配置不正确,Fast 的速度和加密强度都会变差。
· Auto:根据文件的类型和大小,存储器(在 windows 和 * nix / esxi 上)选择最优的(在速度/安全性方面)处理文件策略。
· -SmartPattern - 以百分比步长加密 N 兆字节。默认情况下,它从文件头开始每 10% 加密 10 MB。这是速度/密码强度比的最佳模式。
两种加密算法
· ChaCha20
· AES
在自动模式下,软件会检测是否有AES硬件支持(存在于所有现代处理器中)并使用它。如果没有AES支持,软件会对文件进行ChaCha20加密。
ALPHV还可以配置域凭据,用于传播勒索软件和加密网络上的其他设备。之后,可执行文件会将 PSExec 提取到 %Temp% 文件夹,使用它将勒索软件复制到网络系统中的其他设备,并对这些设备远程加密。
在启动勒索软件时,附属公司可以使用基于控制台的用户界面,让他们能够监控攻击的进展。下图显示了使用修改后的可执行文件附加.bleepin扩展名加密一个测试设备时的进度页面。
△ 正在加密计算机的进度页面
在测试的样本中,ALPHV会终止可能阻止文件被加密的进程和 Windows 服务,包括 Veeam、备份软件、数据库服务器、Microsoft Exchange、Office 应用程序、邮件客户端以及游戏玩家喜爱的Steam。在此过程中ALPHV还会清除回收站、删除卷影副本、扫描并连接到其他网络设备。
通常,在加密设备时,勒索软件会使用随机扩展名,该扩展名会附加到所有文件并包含在勒索信中。赎金票据以“ RECOVER-[extension]-FILES.txt”格式命名,赎金票据由执行攻击的运营公司预先配置,并且对于每个受害者都不同。一些赎金记录包括被盗数据的类型以及指向 Tor 数据泄漏站点的链接,受害者可以在其中预览被盗数据。每个受害者还有一个独特的 Tor 站点,有时还有一个独特的数据泄漏站点,允许运营公司进行一对一谈判。
ALPHV还声称支持多种操作系统,包括:
Windows 7 及更高版本系列(在 7、8.1、10、11;2008r2、2012、2016、2019、2022 上测试);XP 和 2003 可以通过 SMB 加密。 ESXI(在 5.5、6.5、7.0.2u 上测试) Debian(在 7、8、9 上测试); Ubuntu(在 18.04、20.04 上测试) ReadyNAS、Synology
勒索软件专家和 ID 勒索软件创建者迈克尔·吉莱斯皮分析了勒索软件使用的加密程序,但未能找到任何可以免费解密的弱点。
访问令牌功能使谈判保密
一般而言,受害者在和勒索方进行谈判时,谈判信息有时会通过恶意软件分析站点泄露,对最终谈判结果构成影响。为了防止这种情况,ALPHV引入了一个在启动加密器时强制开启的命令行参数--access-token=[access_token]。该访问令牌用于创建所需的访问密钥,以进入该勒索软件Tor支付网站上的谈判。由于这个令牌不包括在恶意软件样本中,即使它被上传到恶意软件分析网站,如果没有实际攻击的赎金票据,研究人员也不会用它来访问谈判网站。
△ ALPHV Tor 支付网站
赎金从 40 万美元到数百万美元不等
据了解,自11月以来,ALPHV已对多个国家和地区发起了攻击,他们对受害者提出的赎金要求在40万美元到300万美元不等,可使用比特币或门罗币支付,但如果受害者使用比特币支付,还会额外收取15%的费用。由于门罗币被认为是一种隐私币且被美国政府禁止,一些受害者并不太容易能使用门罗币支付。
此外,ALPHV不接受受害者雇佣谈判公司进行谈判,否则会威胁删除数据或者故意将数据泄露,ALPHV强调更加直接的私人谈判。
总体而言,ALPHV一种高度复杂的勒索软件,攻击者清楚地考虑了攻击实施前后的各个方面。随着著名的BlackMatter 和 REvil 等在执法部门的打击下逐渐销声匿迹,勒索软件市场形成了大片空白,而ALPHV很可能就是填补这块空白的最佳候选者。
参考来源
https://www.bleepingcomputer.com/news/security/alphv-blackcat-this-years-most-sophisticated-ransomware/