前言
2020年勒索病毒攻击出现了一些新的发展趋势,一些勒索病毒黑客组织将目标对准了一些国内外明星,网红博主等,还有一些勒索病毒黑客组织将自己的RAAS平台私有化,像之前比较流行的NEMTY勒索病毒黑客组织,就公开声称将自己的RAAS平台私有化,只对特定的人进行私人制定服务,详细内容可参考此前的文章:黑吃黑?NEMTY勒索病毒RAAS服务私有化。
笔者近期观察到一款新型的勒索病毒变种样本Netwalker,这款勒索病毒传播变种迅速非常快,在短短的半个月时间里,已经发现了它的几个不同的变种版本,这些变种版本的核心代码基本一致,不过每个不同的变种都使用了不同的加载方式,主要通过VBS脚本、PS脚本、EXE外壳加载等方式,该勒索病毒在过去的两个月的时间里,一直在暗网论坛上非常活跃,根据其黑客组织公布的受害者数据,其感染的企业数量正在不断增长。
Netwalker攻击活动
Netwalker勒索病毒,也称为Mailto勒索病毒,首次于2019年8月被发现,最初的名字是基于其加密后的文件扩展名命名为Mailto,在随后的研究中,对其解密信息进行分析表明这款勒索病毒名称应该为Netwalker,此勒索病毒针对家庭用户、企业、政府机构和卫生组织均发起过网络攻击,相关的攻击案例,如下所示:
1.2020年1月,针对澳大利亚运输和物流公司Toll Group公司进行网络钓鱼攻击,加密了连接至公司网络的所有的Windows设备,高达1000台主机被感染加密,导致该公司关闭了公司的大部分IT系统。
2.2020年3月,随着全球COVID-19冠状病毒的大流行,NetWalker勒索病毒黑客组织通过伪装成冠状病毒疫情的钓鱼邮件,对伊利诺伊州的香槟厄巴纳公共卫生区(CHUPD)机构网站发起攻击,导致该机构的网站下线,该网站为美国近四分之一的人口提供服务,包括该州最大的大学在内的21万名群众。
Netwalker勒索服务
Netwalker勒索病毒也是一款基于RAAS(勒索即服务)模式进行分发的勒索病毒,此前该勒索病毒黑客组织在论坛上已经公布了这款勒索病毒的RAAS分发模式信息,黑客组织提供了NetWalker勒索病毒样本以及后台控制面板,可以通过TOR网络访问,如下所示:
近期Netwalker勒索病毒黑客组织正在从通过网络钓鱼传播勒索病毒的方式转移到采用针对大型企业进行网络入侵的传播方式,并且该黑客组织也更新了其RAAS的分发模式的候选人标准,通过这些严格的选择标准,寻找他们提供RAAS私有化服务制定的人员,如下所示:
在发布RAAS私有化计划一个月之后,即2020年4月19日,Netwalker勒索病毒黑客组织表明了其会员要求,声称只对有经验的说俄语的网络入侵者(而不是垃圾邮件制造者)感兴趣,而希望立即进行持续的工作,如下所示:
从其公布的消息,可以看出这勒索病毒黑客组织打算利用“强强联手”的模式,通过与一些网络入侵团伙进行合作,针对目标企业进行勒索病毒攻击,还会盗取这些企业的数据,同时Netwalker勒索病毒黑客组织也保证在支付赎金后会向受害者提供解密,该黑客组织赎金的百分比份额为20%到80%,其中Netwalker黑客组织只获取赎金的20%,会员可以获得80%,这种高收入的回报,可能导致会有更多的黑客组织与他们进行合作,相比GandCrab勒索病毒此前的百分比份额为30%到70%,有些甚至为40%到60%,为了证明自己,Netwalker勒索病毒黑客组织还发布了他们已经获取的赎金信息,从数十万美元到数百万美元不等
笔者此前捕获了一例通过EXE外壳程序加载这款勒索病毒核心代码的样本,通过分析会在内存中解密出该勒索病毒的核心代码,如下所示:
将解密出来的核心代码与此前通过PowerShell脚本反射注入的Netwalker核心代码进行对比分析,如下所示:
代码匹配度高达90%以上,该勒索病毒加密后的文件,如下所示:
勒索提示信息文件,如下所示:
可以看到勒索提示信息文件显示为Netwalker勒索病毒家族。
Netwalker勒索病毒在过去的两个月的时间里非常活跃,而且其黑客组织不断在更新自己的运营模式和病毒样本,同时因为其高额的回报,未来可能会有更多的黑客组织与他们进行合作,对目标企业发起网络渗透攻击,再通过勒索病毒快速获利,同时这些网络攻击活动还会盗取企业的重要数据,后期还可以通过公布这些企业的数据来逼迫受害者交付赎金。
从NEMTY和Netwalker这两款勒索病毒的RAAS服务私有化可以看出,未来勒索病毒的攻击会越来越具有针对性,这提高了勒索病毒攻击的门槛,主要针对特定的企业,政府,组织机构等进行网络攻击,然后再通过勒索病毒快速获取暴利,未来不仅仅是勒索病毒攻击会越来越有针对性,目标性,会有越来越多的网络安全攻击行为向定向化攻击活动发展,也就是大家俗称的APT攻击,这种定向的攻击活动,目标性强,攻击手法多种多样,企业防不甚防。
