大多数进行软件搜索活动的网络犯罪分子都受到高度关注。 他们不仅受到执法和安全公司的调查,而且还调查他们传播恶意软件的技术方式及其在受感染计算机上运行和工作的方式。
SentinelOne 的一份新报告揭示了一些勒索软件组织使用的新技术。 这种最近流行的技术被称为“间歇加密”(intermittent crypto)。
什么是间歇性加密?
这个术语可能会令人困惑,因此立即澄清它似乎很重要:间歇加密并不是为了加密选定的完整文件而设计的,而是有选择地加密文件中的部分字节。
研究人员表示,间歇性加密使攻击者能够更有效地躲避使用统计分析来检测当前勒索软件感染的系统。 该分析基于操作系统的文件输入和输出操作的强度,即基于文件的已知和可疑修改版本之间的相似性。 因此,间歇性加密会降低文件输入/输出操作的强度软件加密算法,从而在特定文件的未加密版本和加密版本之间表现出极高的相似性,因为文件中仅更改了一些字节。
间歇性加密的优点还在于,可以在短时间内加密较少的内容,但仍然会导致系统无法使用,从而更难以检测从感染时间到内容加密时间之间的勒索软件活动。
对使用不同文件大小的 BlackCat 勒索软件的研究表明,间歇性加密为威胁行为者提供了显着的速度优势。
LockFile 勒索软件是 2021 年中期第一个使用间歇性加密的恶意软件家族,尽管现在有几个不同的勒索软件家族也在使用它。
哪些威胁组织正在使用间歇性加密?
同样重要的是要知道,间歇性加密在众多地下论坛中变得越来越流行,这些论坛大力宣传间歇性加密,以吸引更多买家或勒索软件组织。
• Qyick 勒索软件
SentinelOne 的研究人员报告称,他们在暗网上一个流行的犯罪论坛上看到了名为 Qyick 的新型商业勒索软件的广告。 名为 lucrostm 的广告商此前曾被发现兜售其他软件,例如远程访问工具 (RAT) 和恶意软件加载程序,并以 0.2 比特币到约 1.5 比特币的价格出售 Qyick,具体价格取决于购买价格。 具有家庭想要的功能选项。 Lucrostm 给出的保证之一是,如果勒索软件家族的二进制文件在购买后六个月内被安全解决方案检测到,未检测到的新勒索软件样本将获得 60% 至 80% 的大幅折扣。
该勒索软件是用 Go 语言编写的,据开发人员称软件加密算法,除了使用间歇性加密之外,该语言还有望加快勒索软件的运行速度(图 1)。
图 1. 地下网络犯罪论坛上的 Qyick 勒索软件广告(来源:SentinelOne)
Qyick 仍是一种正在开发中的勒索软件。 尽管它目前不具备窃取数据的能力,但未来的版本将允许控制器执行任意代码,并将主要用于此目的。
• PLAY 勒索软件
该勒索软件首次出现于 2022 年 6 月。它根据当前文件大小使用间歇性加密。 它加密十六进制 0x100000 字节的块(十进制 1048576 字节),以及两个、三个或五个字节的块,具体取决于文件大小。
• 议程勒索软件
该勒索软件是另一个用Go语言编写的勒索软件。 它支持可由控制器配置的多种不同的间歇加密方法。
第一种方法称为“skip-step”,允许攻击者加密文件的每个 X MB(兆字节),跳过指定数量的 MB。 第二种方法称为“快速”,仅允许加密文件的前 N MB。 最后一种方法称为“百分比”,仅允许加密文件的一部分。
•Black Basta勒索软件
该勒索软件自 2022 年 4 月以来一直以勒索软件即服务 (RaaS) 的形式运行。它是用 C++ 编写的,其运营团伙一直将其与双重勒索结合使用,威胁称如果受害者不付款,就会窃取数据赎金。
如果文件大小小于 4KB,Black Basta 的间歇加密方法每加密 64 字节就会跳过 192 字节。 如果文件大于 4KB,勒索软件每加密 64 字节就会跳过 128 字节,而不是跳过 192 字节。
• 黑猫/ALPHV
BlackCat,又名ALPHV,是一款采用Rust语言开发、采用RaaS模型的勒索软件。 该威胁组织长期以来擅长使用勒索策略,例如数据泄露或分布式拒绝服务 (DDoS) 攻击来威胁受害者。
BlackCat 勒索软件为其控制器提供了多种不同的加密模式,从完全加密到集成间歇性加密:它能够仅加密文件的前 N 个字节,或每 N 个字节跳过 X 个。 字节函数。
它还具有更高级的加密功能,例如将文件分成不同大小的块并且仅加密每个块的前P字节。
除了间歇性加密之外,BlackCat 还包含一些尽可能加快速度的逻辑:如果受感染的计算机支持硬件加速,勒索软件将使用 AES(高级加密标准)进行加密。 否则,它使用完全由软件实现的 ChaCha20 算法。
如何防范这种威胁?
建议始终确保操作系统及其上运行的所有软件都是最新的并已打补丁,以避免受到常见漏洞的影响。
还建议部署安全解决方案,以便在勒索软件被植入一台或多台计算机之前尝试检测到威胁。
只要有可能,就应部署多重身份验证,以便攻击者无法仅使用凭据访问勒索软件可以运行的网络部分。
每个用户的安全意识都应该提高,尤其是电子邮件方面,因为电子邮件是勒索软件最常见的感染媒介之一。
