新的勒索软件变种如雨后春笋般涌现

Fortinet的FortiGuard实验室的安全研究人员本周正在跟踪威胁三个勒索软件变体，Vohuk、ScareCrow和AESRT。与大多数勒索软件工具一样，这三个勒索软件均以Windows系统为目标，并且似乎在属于多个国家/地区的用户的系统上迅速扩散。FortiGuard建议企业安全团队可以将这三种勒索软件变体添加到他们需要监控的不断增长的勒索软件威胁列表中。

Fortinet建议组织将需要对数据备份的频率、位置和安全性进行根本性的改变，以有效地应对不断演变和迅速扩大的勒索软件风险。同时警告企业和组织，遵照CISA、NCSC、FBI和HHS等机构的警告，勒索软件受害者不要支付赎金，部分原因是支付赎金并不能保证文件会被恢复。因为根据美国财政部外国资产控制办公室(OFAC)的一份咨询报告，支付赎金也可能会鼓励对手瞄准更多的组织，鼓励其他犯罪行为者分发勒索软件，和/或资助可能是非法的非法活动。对于受勒索软件影响的组织和个人，FBI有一个勒索软件投诉页面，受害者可以通过他们的互联网犯罪投诉中心(IC3)提交勒索软件活动样本。

越来越多的变体

Fortinet对这三种威胁的分析表明，它们是那种标准的勒索软件工具，但在加密受感染系统上的数据方面非常有效。Fortinet的警报没有确定新勒索软件样本的运营商如何分发他们的恶意软件，但它指出网络钓鱼电子邮件通常是勒索软件感染的最常见载体。

Fortinet的FortiGuard实验室高级安全工程师Fred Gutierrez表示：“如果2022年勒索软件的增长预示着未来，那么各地的安全团队应该会看到这种攻击媒介在2023年变得更加流行。”

他说，仅在2022年上半年，FortiGuard实验室发现的新勒索软件变种的数量就比前六个月增加了近100%。该实验室团队在2022年上半年记录了10,666个新的勒索软件变体，而2021年下半年只有5,400个。

“新勒索软件变体的增长主要归功于更多的攻击者利用暗网上的勒索软件即服务(RaaS)，”他说。

Gutierrez补充说：“此外，也许最令人不安的方面是，我们看到更具破坏性的勒索软件攻击在规模上和几乎所有行业类型中都有所增加，我们预计这种情况将持续到2023年。”

标准但有效的勒索软件毒株

Fortinet研究人员分析的Vohuk勒索软件变体似乎处于第三次迭代，表明其作者正在积极开发它。

Fortinet表示，该恶意软件会在受感染的系统上投放赎金票据“README.txt”，要求受害者通过带有唯一ID的电子邮件与攻击者联系。该说明告知受害者，攻击者并非出于政治动机，而是只对经济利益感兴趣——大概是为了让受害者放心，如果他们支付了所要求的赎金，他们就会取回数据。

与此同时，“ScareCrow是另一种典型的勒索软件，它会加密受害者机器上的文件，”Fortinet说。“它的赎金票据也名为‘readme.txt’，包含三个Telegram频道，受害者可以使用这些频道与攻击者交谈。”

Fortinet表示，虽然赎金票据不包含任何具体的财务要求，但可以安全地假设受害者需要支付赎金才能恢复加密的文件。

该安全供应商的研究还表明，ScareCrow与臭名昭著的Conti勒索软件变体之间存在一些重叠，后者是有史以来最多产的勒索软件工具之一。例如，两者都使用相同的算法来加密文件，而且就像Conti一样，ScareCrow使用WMI命令行实用程序(wmic)删除卷影副本，使受感染系统上的数据无法恢复。

向VirusTotal提交的信息表明，ScareCrow已经感染了美国、德国、意大利、印度、菲律宾和俄罗斯的系统。

第三个勒索软件AESRT，这是Fortinet最近在野外发现的第三个新勒索软件系列，其功能与其他两种威胁相似。主要区别在于，恶意软件没有留下勒索字条，而是提供了一个弹出窗口，其中包含攻击者的电子邮件地址，以及一个显示密钥的字段，一旦受害者支付了所要求的赎金，就可以解密加密文件。

加密货币崩溃会减缓勒索软件威胁？

随着勒索软件运营商不断不懈地打击企业组织，新的变体增加了组织现在每天必须处理的长期且不断增长的勒索软件威胁列表。

LookingGlass今年早些时候分析的勒索软件攻击数据显示，仅在2022年上半年，就有大约1,133起已确认的勒索软件攻击，其中超过一半(52%)影响了美国公司。LookingGlass发现最活跃的勒索软件组是LockBit变体背后的勒索软件组，其次是Conti、Black Basta和Alphy勒索软件背后的组织。

然而，活跃率并不稳定。一些安全供应商报告说，在一年中的某些时候，勒索软件活动略有放缓。

例如，在一份年中报告中，SecureWorks表示，其在5月和6月的事件响应活动表明，新的勒索软件攻击成功发生的速度有所放缓。

SecureWorks认为，这一趋势可能至少部分与今年Conti RaaS运营中断以及乌克兰战争对勒索软件团伙的破坏性影响等其他因素有关。

身份盗窃资源中心(ITRC)的另一份报告称，与今年第一季度相比，2022年第二季度导致数据泄露的勒索软件攻击减少了20% 。与 SecureWorks一样，ITRC认为这种下降与乌克兰战争有关，而且更重要的是，与勒索软件运营商青睐的用于支付的加密货币崩溃有关。

LookingGlass首席执行官Bryan Ware表示，他相信加密货币崩溃可能会在2023年阻碍勒索软件运营商。

“最近的FTX丑闻让加密货币陷入困境，这影响了勒索软件的货币化，并从根本上使其变得不可预测，”他说。“这对勒索软件运营商来说不是好兆头，因为从长远来看，他们将不得不考虑其他形式的货币化。”

Ware说，围绕加密货币的趋势让一些勒索软件组织考虑使用他们自己的加密货币：“我们不确定这是否会实现，但总的来说，勒索软件组织担心他们将如何货币化并保持一定程度的匿名性。”

参考资源：

1.https://www.darkreading.com/remote-workforce/rash-new-ransomware-variants-in-the-wild

2.https://www.fortinet.com/blog/threat-research/ransomware-roundup-new-vohuk-scarecrow-and-aerst-variants

原文来源：网空闲话

“投稿联系方式：孙中豪 010-82992251 [email protected]”