Ransom Cartel是在2021年12月才被发现的勒索软件即服务 (RaaS)。此勒索软件执行双重勒索攻击,并与REvil勒索软件表现出一些相似之处和技术重叠。从时间维度来说,Ransom Cartel是在REvil勒索软件消失后几个月出现的。当Ransom Cartel首次出现时,尚不清楚是REvil的重现还是重用或模仿REvil代码。
2021年10月,REvil运营商突然中止,其暗网泄露网站也突然无法访问。大约在2022年4月中旬,个别安全研究人员和网络安全媒体报道了REvil的一项新进展,这可能意味着该组织的回归。REvil在dnpscnbaix6nkwvystl3yxglz7nteicqrou3t75tpcc5532cztc46qyd[.]onion和aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd[.]onion开始将用户重定向到blogxxu75w63ujqarv476otld7cyjkq4yoswzt4ijadkjwvg3vrvd5yd[.]onion/Blog。
同一天晚些时候,重定向被删除。当时,还无法确定是哪个组织发起了重定向,因为这个新的重定向网站并没有显示任何名字或隶属关系。
在重定向开始时,网站上没有列出任何违规组织。随着时间的推移,攻击者开始添加出现在 重定向网站上的记录,大部分是在2021年4月下旬至10月期间。他们还包括以前REvil使用的文件共享链接作为攻击的证据。
新的重定向网站列出了Tox Chat ID,用于与勒索软件运营商进行通信。该网站暗示其运营商与REvil的联系,并声称该新组织提供了 “相同但经过改进的软件”。
unit42最初认为该网站与Ransom Cartel有关,攻击者提到的 “改进软件” 是新的Ransom Cartel变体。然而,在进一步分析和看到更多证据后,研究人员认为这和Ransom Cartel毫无任何关系。
无论新的重定向网站是由Ransom Cartel还是由其他组织运营的,很明显的是,尽管REvil可能已经消失,但其恶意影响力并未消失。新成立的组织似乎可以访问REvil或与其建立联系。同时,我们对Ransom Cartel样本的分析 (在下面的部分中详细介绍) 也提供了与REvil有关的有力证据。
研究人员大约在2022年1月中旬第一次观察到Ransom Cartel。MalwareHunterTeam的安全研究人员认为,该组织至少自2021年12月以来一直活跃。他们观察到第一个已知的Ransom Cartel活动,并注意到与REvil勒索软件的一些相似之处和技术重叠。
关于Ransom Cartel的起源有许多猜测。其中一种猜测是,Ransom Cartel可能是多个组织融合的结果。然而,MalwareHunterTeam的研究人员提出,其中一个被认为已经合并的组织否认与Ransom Cartel有任何联系。此外,unit42发现其中许多组织与REvil有联系外,没有发现这些组织与Ransom Cartel有联系。
目前,研究人员认为Ransom Cartel运营商可以访问REvil ransomware的早期版本的源代码,但不能访问一些最新的开发 (有关更多详细信息,请参阅Ransom Cartel和REvil代码比较)。这表明,在某种程度上,这些组织之间存在着某种关系,尽管这种关系可能不是最近才出现的。
unit42还观察到Ransom Cartel组织的攻击目标,2022年1月左右在美国和法国观察到第一个已知的受害者。Ransom Cartel攻击了以下行业的企业: 教育,制造业,公用事业和能源。unit42事件响应者还协助客户在几起Ransom Cartel案件中做出反应。
像许多其他勒索软件组织一样,Ransom Cartel利用双重勒索技术。unit42观察到该组织采取了更激进的态度,威胁不仅要将窃取的数据发布到他们的泄露网站上,还会将数据发送给受害者的合作伙伴、竞争对手和新闻媒体,以造成名誉损害。
Ransom Cartel通常通过被破坏的凭证获得对环境的初始访问权,这是勒索软件运营商初始访问的最常见途径之一。这包括外部远程服务、远程桌面协议 (RDP) 、安全shell协议 (SSH) 和虚拟专用网络 (vpn) 的访问凭证。这些凭证在网络黑市中被广泛可用,并为攻击者提供了一种可靠的手段来访问受害者的公司网络。
这些凭据也可以通过勒索软件运营商本身的活动或通过从初始访问代理购买来获得。
初始访问代理是提供出售受损网络访问的攻击者。他们的动机不是自己进行网络攻击,而是向其他攻击者出售访问权限。由于勒索软件的盈利能力,这些代理可能会根据他们愿意支付的金额与RaaS组织建立合作关系。
unit42已经发现Ransom Cartel依靠这种类型的服务来获得对勒索软件部署的初始访问权限的证据。Unit 42还观察到Ransom Cartel在攻击企业网络时对Windows和Linux VMWare ESXi服务器进行加密。
unit42使用一种名为DonPAPI的工具观察到一名Ransom Cartel攻击者,这种工具在过去的事件中从未被发现过。该工具可以定位和检索Windows数据保护API (DPAPI)受保护的凭证,这被称为DPAPI转储。
DonPAPI用于搜索设备上已知为DPAPI blob的某些文件,包括Wi-Fi密钥、RDP密码、保存在web浏览器中的凭证等。为了避免被反病毒(av)或终端检测和响应(EDR)检测到的风险,该工具下载文件并在本地解密。为了破坏Linux ESXi设备,Ransom Cartel使用DonPAPI获取存储在web浏览器中的凭据,用于对vCenter web界面进行认证。
研究人员还观察到攻击者使用了其他工具,包括恢复本地存储的凭据的LaZagne和从主机内存窃取凭据的Mimikatz。
为了建立对Linux ESXi设备的持久访问,攻击者在对vCenter进行身份验证后启用SSH。攻击者将创建新的帐户,并将帐户的用户标识符(UID)设置为零。对于Unix/Linux用户,UID=0表示root。这意味着任何安全检查都被绕过了。
据观察,该攻击者正在下载并使用一种名为PDQ Inventory的合法工具的破解版本。PDQ Inventory是一种合法的系统管理解决方案,IT管理员可以使用它扫描他们的网络,收集硬件、软件和Windows配置数据。Ransom Cartel利用它作为远程访问工具,建立交互式命令和控制通道,并扫描受感染的网络。
一旦VMware ESXi服务器被破坏,攻击者将启动加密器,它将自动枚举正在运行的虚拟机(vm),并使用esxcli命令关闭它们。通过终止虚拟机进程,可以确保勒索软件能够成功加密vmware相关文件。
在加密过程中,Ransom Cartel专门寻找具有以下文件扩展名的文件:.log, .vmdk, .vmem, .vswp和.vmsn。这些扩展与ESXi快照、日志文件、交换文件、分页文件和虚拟磁盘相关联。加密后,观察到以下文件扩展名:.zmi5z, .nwixz, .ext, .zje2m, .5vm8t和.m4tzt。
unit42观察到Ransom Cartel发送的两种不同版本的勒索通知。第一个勒索通知最早是在2022年1月周围观察到的,另一个勒索通知是在2022年8月首次出现的。第二个版本似乎被完全重写了,如图1所示。
Ransom Cartel勒索通知,左边的是在2022年1月中首次观察到的,右边的是在2022年8月中首次观察到的
有趣的是,Ransom Cartel使用的第一个勒索通知的结构与REvil发送的勒索通知具有相似之处,如下图所示。除了使用类似的措辞外,两个注释都对UID采用了相同格式的16字节十六进制字符串。
左侧显示的Ransom Cartel勒索通知,而右边显示的是REvil发送的勒索通知
Ransom Cartel与受害者沟通的网站可通过赎金说明中提供的TOR链接获得。我们已经观察到属于Ransom Cartel的多个TOR url,这可能表明他们一直在改变基础设施并积极开发其网站。访问网站需要一个TOR私钥。
输入密钥时,将加载以下页面:
Ransom CartelTOR网站登陆页面
通过授权按钮进入TOR网站后,会出现一个屏幕,要求输入赎金通知中包含的详细信息。
Ransom Cartel网站,要求在赎金通知中提供的ID和密钥
在TOR网站上完成授权后,将出现下图所示的页面。该网站包括美元和比特币的赎金需求以及比特币钱包地址等详细信息。
Ransom CartelTOR网站
在此分析中使用了两个Ransom Cartel样本:
两个样本都包含三种输出:
如果不指定导出而执行DLL,则示例还包含一个DllEntryPoint。DllEntryPoint指向一个函数,该函数在对Curve25519 Donna算法的调用上迭代24次。迭代结束后,示例将查询系统指标,特别是SM_CLEANBOOT值。如果这个值不是0,勒索软件将继续通过rundll32.exe生成自己的另一个实例,并指定Rathbuige导出。
SM_CLEANBOOT值
Rathbuige导出从创建以下互斥锁开始:
创建互斥锁后,示例开始解密并解析其嵌入式配置。该配置存储为一个base64编码的blob,其中base64编码的blob的前16个字节是RC4密钥,用于在解码后解密blob的其余部分。
Ransom Cartel加密配置
一旦解密,该配置将以JSON格式存储,并包含诸如加密文件扩展名、攻击者的公共Curve25519-donna密钥、base64编码的赎金通知以及加密前要终止的进程和服务列表等信息。
解密Ransom Cartel配置示例
配置中的对应值如下:
配置结构
有针对性的进程列表
有针对性的服务列表
避免扩展
解密配置后,将收集某些系统信息,包括用户名,计算机名称,域名,区域设置和产品名称。然后将此信息格式化为以下JSON结构:
结构内每个项的作用
硬编码JSON格式项和值
一旦收集到的数据被格式化为JSON结构,它将使用与Ransom Cartel生成session_secret blob相同的过程进行加密,稍后将讨论这个过程。简而言之,它涉及AES加密,对AES密钥使用Curve25519共享密钥的SHA3哈希。
一旦加密,它被写入注册表项SOFTWARE\\Google_Authenticator\\b52dKMhj,如果没有正确的权限,示例首先尝试写入HKEY_LOCAL_MACHINE配置单元,然后写入HKEY_CURRENT_USER。将数据写入注册表后,它将被base64编码并嵌入到赎金通知中,取代{KEY}占位符。
一旦配置被解析并存储在注册表中,就会解析提供给勒索软件的命令行。总共有5个可能的参数,如下表所示。
接下来,让我们继续分析会话秘密生成过程。
Ransom Cartel首先检查注册表是否已经包含先前生成的值; 如果是这样,它将把这些值读入内存。否则,它将在运行时总共生成两个会话秘密,每个秘密包含88个字节的数据。
首先,将使用此Curve25519存储库 (session_public_1和session_private_1) 中的代码生成公钥和私钥对。当生成第一个会话秘密时,会生成另一个会话密钥对 (session_public_2和session_private_2),并且session_private_2与attacker_cfg_public (配置中嵌入的公钥) 配对以生成共享密钥。然后使用SHA3哈希算法对该共享密钥进行哈希处理。生成的哈希用作具有随机16字节初始化向量 (IV) 的AES密钥,用于加密由四个空字节组成的后跟session_private_1的数据blob。
会话秘密生成过程示意图
现在,使用CRC-32哈希加密blob,然后附加有session_public_2、AES IV和计算的CRC-32哈希的值。结果值为session_secret_1。第二个生成的会话秘密遵循完全相同的过程。但是,它没有使用attacker_cfg_public,而是利用二进制文件中的嵌入式公钥 (attacker_embedded_public_1) 来生成共享密钥。
反编译会话秘密生成过程
最后一个嵌入式公钥 (attacker_embedded_public_2) 用于加密格式化为上述JSON结构的数据。
早在2020年,Amossys的研究人员就记录了这种生成会话秘密的方法,然而,他们的分析集中在Sodinokibi/REvil勒索软件的更新版本上,表明REvil源代码和最新的Ransom Cartel样本之间有直接重叠。
一旦生成了会话秘密,它们就会与session_public_1和attacker_cfg_public一起写入注册表。
Ransom Cartel使用的注册表路径和值
此时,将收集并生成所有所需的信息,以便开始文件加密。
对于每个文件,生成唯一的文件公钥和私钥对 (file_public_1和file_private_1),再次使用 Curve25519 Donna. file_private_1和session_public_1配对在一起以生成共享密钥,该共享密钥使用sha3进行哈希处理。生成的哈希用作Salsa20 (一种对称加密算法) 的加密密钥,并使用CryptGenRandom生成随机的八字节随机数。计算file_public_1的CRC-32哈希,然后使用生成的Salsa20矩阵对四个空字节进行加密。
然后保留上述数据的某些元素,并将其用作加密文件页脚的一部分,每个文件页脚的长度为232字节,由以下部分组成:
与session_secret生成类似,该结构与Amossys分析的REvil样本的结构相同,进一步表明在开发Ransom Cartel样本时,对REvil源代码的更改很少。
文件加密设置过程
Ransom Cartel的样本分析显示了与REvil勒索软件的相似之处。
Ransom Cartel和REvil之间的第一个值得注意的相似之处是配置的结构。检查2019年的REvil样本(SHA256: 6a2bd52a5d68a7250d1de481dcce91a32f54824c1c540f0a040d05f757220cd3),可以看到相似性。然而,加密配置的存储略有不同,选择将配置存储在二进制文件(.ycpc19)的单独部分中,初始的32字节RC4密钥后面是原始加密配置,而对于Ransom Cartel示例,配置作为base64编码的blob存储在.data部分中。
REvil配置存储
一旦REvil配置被解密,它将使用相同的JSON格式,但包含额外的值,如pid、sub、fast、wipe和dmn。这些值表示REvil示例中的附加功能,这可能意味着要么是Ransom Cartel的开发人员删除了某些功能,要么是他们在REvil的较早版本之上构建。
解密REvil配置
如上所述,另一个主要的重叠是Ransom Cartel的两个样本之间的代码重用。两者都使用相同的加密方案,生成多个公钥/私钥对,并使用在REvil样本中找到的相同过程创建会话秘密。
REvil会话秘密生成函数
两者都使用Salsa20和Curve25519进行文件加密,除了内部类型结构的结构外,加密例程的布局几乎没有什么不同。
REvil文件加密设置功能
两个恶意软件家族之间一个特别有趣的区别是,REvil比Ransom Cartel组织更倾向于混淆他们的勒索软件,使用字符串加密,API哈希等,而Ransom Cartel几乎没有混淆配置之外的配置,这意味着该组织可能不拥有REvil使用的混淆引擎。
Ransom Cartel组织有可能是原始REvil攻击者组织的一个分支,其中个人只拥有REvil勒索软件加密/解密器的原始源代码,但没有访问混淆引擎的权限。
Ransom Cartel是2021年发现的众多勒索软件家族中的一个。虽然Ransom Cartel使用双重勒索和我们在勒索软件攻击期间经常观察到的一些相同的ttp,但这种类型的勒索软件使用不太常见的工具,例如DonPAPI,这是以前在任何其他勒索软件攻击中都没有观察到。
基于Ransom Cartel运营商显然可以访问原始的REvil ransomware源代码,但可能不拥有用于加密字符串和隐藏API调用的混淆引擎,我们推测Ransom Cartel的运营商与REvil组织在某一时期存在关联。
参考及来源:https://unit42.paloaltonetworks.com/ransom-cartel-ransomware/