去年REvil、Conti等主要黑客组织崩溃后,勒索软件即服务(RaaS)组织Ransom Cartel的攻击正式开始。该勒索卡特尔据信于 2021 年 12 月发起,通过攻击性恶意软件和类似 Revil 的策略损害了教育、制造、公用事业和能源领域的公司。
ⓒ 盖蒂图片银行
该黑客组织采用所谓的双重勒索手段:加密数据
窃取数据,然后威胁要在自己的数 阿曼电话号码数据 据泄露网站上发布信息。不仅如此,他们还威胁将敏感信息发送给受害者的合作伙伴、竞争对手或新闻媒体,以尽可能损害受害者的声誉。
Palo Alto Networks 威胁情报实验室“Unit 42”的研究人员分析了勒索软件代码并表示:“勒索卡特尔组织似乎获得了 Revil 勒索软件源代码的早期版本,但不是最新版本。“这表明这两个群体之间曾一度存在过关系,即使不是最近,”他说。
早期访问和横向移动工具集
勒索卡特尔黑客经常使用窃取的凭据来获得对受害公司的初始访问权限。这包括可通过 Internet、远程桌面协议 (RDP)、安全外壳协议 (SSH) 和虚拟专用网络 (VPN) 访问的各种服务的凭据。在某些情况下,勒索卡特尔的附属机构(分发勒索软件并获得大量赎金作为回报的黑客)直接或通过地下市场的早期访问经纪人寻求这些凭证。
Palo Alto Networks 研究人员表示:早期访问经纪人是那些出售受感染
他们更愿意向其他威胁 数字列表 行为者出售访问权限,而不是自己进行网络攻击。由于勒索软件利润丰厚,经纪人通常会根据 RaaS 组织提供的金额建立关系并进行运营。“我们有证据表明勒索卡特尔利用这些类型的服务来获得分发勒索软件的初始权限。
一旦进入公司网络,勒索卡特尔黑客的目标就是窃取额外的凭据以访问 Windows 和 Linux VMware ESXi 服务器。他们被发现使用了名为 DonPAPI 的开源工具,该工具使用 Windows 数据保护 API ( DPAPI ) 来查找和转储存储的凭据。
DonPAPI 从 DPAPI blob 检索 Windows 任务计划程序、Windows Vault、Windows RDP、Wi-Fi 密钥和 AdConnect 存储的凭据。此外,还可以从 Internet Explorer、Chrome、Firefox、VNC 和 mRemoteNG 中提取除 DPAPI 之外的机密信息。存储在浏览器中的凭据用于对 VMware vCenter 界面进行身份验证,并且通常包括访问 ESXi 服务器的凭据。帕洛阿尔托研究人员表示:“文件在本地下载和解密,以避免被防病毒 (AV) 或端点检测和响应 (EDR) 检测到的风险。”
vCenter 身份验证后,黑客激活 SSH 并通过将用户标识符 (UID) 设置为 0 来创建新帐户。在 Linux 中,这意味着 root。这样您就可以跳过安全检查并保持对服务器的连续访问。Linux 系统上使用的文件加密程序会查找与 ESXi 快照、日志文件、交换文件、分页文件和虚拟磁盘关联的 .log、.vmdk、.vmem、.vswp 和 .vmsn 文件。
勒索卡特尔黑客还使用了 LaZagne 和 Mimikatz 凭证转储工具。一种名为 PDQ Inventory 的合法工具在 IT 经理中很流行,用于扫描网络以收集有关硬件、软件和 Windows 配置的信息。
确认他们使用的其他工具包括用于网络扫描的Advanced Port Scanner和netscan.exe、用于SSH连接的Putty、用于远程桌面的AnyDesk以及用于攻击命令的Cobalt Strike,其中还有黑客版本的(Cobalt Strike)和Rclone以防止数据泄露。PrintNightmare 漏洞(CVE-2021-1675、CVE-2021-34527、CVE-2021-34481)用于权限升级。
与 Revil 代码的相似之处
该Windows勒索软件程序包含一个加密的配置文件,其中包含攻击者在加密例程中使用的Curve25519-donna密钥、不加密的文件、文件夹和扩展名的列表、要终止的进程和系统服务的列表以及勒索信。
进程列表包括 BackupExecVSSProvider、Veem 和 Acronis 等备份服务、Microsoft Exchange 和 MSSQL 等数据库服务、Sophos 等安全产品、电子邮件客户端和浏览器。
加密例程生成本地 Curve25519 密钥对,然后生成会话密钥对。在此密钥对中,私钥与攻击者的公钥配对,后者作为勒索软件配置的一部分进行分发。生成的密钥使用 SHA3 进行哈希处理,并且该哈希值用作 AES 加密的密钥。还会生成其他会话密钥,其中包含最终使用 Salsa20 算法加密的每个文件的公钥-私钥对。
帕洛阿尔托研究人员表示:“Amossys 的一个研究团队于 2020 年记录了这种生成会话秘密的方法。” “Amosis 的分析重点是 Sodinokibi/Reville 勒索软件的更新版本,我们发现 Revil 源代码与最新的勒索卡特尔样本之间存在直接重叠。”
除了加密和密钥生成方法相似之外,Revil 和勒索卡特尔的勒索软件程序在勒索软件二进制文件中存储加密配置的方式以及解密后的格式化方式上也有重叠。然而,Revil 有更多不在勒索卡特尔配置中的项目,这表明勒索卡特尔黑客要么删除了一些功能,要么只是可以访问 Revil 的旧版本。
