趨勢 1：攻擊者正在嘗試開發跨平臺勒索軟件

　　由于多年來越來越流行的大型狩獵 (BGH) 計劃，攻擊者已經滲透到越來越復雜的系統環境中。為了造成盡可能多的破壞并使恢復變得非常困難，他們試圖對盡可能多的系統進行加密。這意味著他們的勒索軟件應該能夠在不同的架構和操作系統組合上運行。

　　克服這個問題的一種方法是使用“跨平臺編程語言”（例如 Rust 或 Golang）編寫勒索軟件。使用跨平臺語言還有其他幾個原因。例如，即使勒索軟件目前可能針對一個平臺，但將其寫入跨平臺可以更容易地將其移植到其他平臺。另一個原因是跨平臺二進制文件的分析比用純 C 編寫的惡意軟件要難一些。

　　Conti 跨平臺功能

　　Conti 是一個開展 BGH 的組織，其目標是全球范圍內的各種組織。就像許多其他 BGH 組織一樣，它使用雙重勒索技術。

　　我們注意到，只有某些關聯公司才能訪問針對 ESXi 系統的 Conti 勒索軟件的 Linux 變體。它支持各種不同的命令行參數，會員可以使用這些參數來自定義執行。Linux 版本支持以下參數：

　　detach：示例在后臺執行，并與終端分離；

　　log：出于調試目的，指定文件名后，Conti 會將操作寫入日志文件；

　　path：Conti 需要這個路徑來加密系統。使用選定的路徑，勒索軟件將遞歸加密整個文件夾結構；

　　prockiller：此標志允許勒索軟件阻止那些具有選定文件進行加密的進程；

　　size：函數未實現；

　　vmlist：用于在加密過程中跳過虛擬機的標志；

　　vmkiller：它將終止 ESXi 生態系統的所有虛擬機；

　　BlackCat 跨平臺功能

　　BlackCat 于 2021 年 12 月開始在暗網上提供服務。盡管該惡意軟件是用 Rust 編寫的，但我們發現了一些與 BlackMatter 組織相關的攻擊示例，因為該攻擊者使用了與之前在 BlackMatter 活動中觀察到的相同的自定義滲透工具。由于 Rust 的交叉編譯功能，我們很快就找到了同樣適用于 Linux 的 BlackCat 示例。

　　BlackCat 的 Linux 示例與 Windows 非常相似。在功能方面，它稍微多一些，因為它能夠關閉設備并刪除 ESXi 虛擬機。典型的 Windows 功能（例如，通過 cmd.exe 執行命令）被刪除，并被Linux的等效功能取代，因此勒索軟件在其運行的不同平臺上仍然具有相同的功能。

　　Deadbolt 跨平臺功能

　　Deadbolt 是一個以跨平臺語言編寫的勒索軟件示例，但目前僅針對QNAP NAS 系統。它也是 Bash、HTML 和 Golang 的有趣組合。Deadbolt 本身是用 Golang 編寫的，贖金通知是一個HTML文件，它取代了QNAP NAS使用的標準索引文件，如果提供的解密密鑰是正確的，則使用Bash腳本啟動解密過程。這個勒索軟件還有一個特別之處：它不需要與攻擊者進行任何交互，因為在比特幣交易的 OP_RETURN 字段中提供了解密密鑰。Bash 文件如下所示。

　　趨勢 2：勒索軟件生態系統正在變得更加“工業化”

　　就像合法的軟件公司一樣，網絡犯罪組織也在不斷地為自己和他們的客戶開發他們的工具包，例如，使數據泄露的過程更快、更容易。攻擊者有時會使用的另一個技巧是重新命名他們的勒索軟件，在這個過程中一點點改變。讓我們深入研究一下勒索軟件組織最近使用的新工具和“商業”策略。

　　自 2019 年以來最成功的 RaaS—— Lockbit 的演變

　　Lockbit 始于 2019 年，然后在 2020 年宣布了其附屬計劃。隨著時間的推移，該組織一直在積極迭代，如下圖所示：

　　該組織在開始進行惡意活動時，沒有任何泄密網站，沒有進行雙重勒索，也沒有數據加密前的數據泄露。

　　隨著時間的推移，基礎設施也得到了改善。與其他勒索軟件家族一樣，Lockbit 的基礎設施遭受了多次攻擊，迫使該組織實施一些對策來保護其資產。這些攻擊包括對 Lockbit 管理面板的黑客攻擊和 DDOS 攻擊，以迫使該組織關閉其活動。

　　Lockbit 開發人員添加的最新安全功能是“等待頁面”，可以將用戶重定向到一個可用的鏡像。

　　StealBIT：Lockbit 勒索軟件使用的自定義數據泄露工具

　　當組織實施雙重勒索時使用的數據泄露可以通過許多不同的方式進行。最初，攻擊者使用諸如 Filezilla 等公開可用的工具，然后用他們自己的自定義工具（如 StealBIT）取而代之。原因如下：

　　公開可用的工具并不總是以速度著稱。對勒索軟件運營商來說，速度很重要，因為竊取數據的時間越長，勒索軟件運營商被抓住的幾率就越大。

　　靈活性是另一個原因。標準工具的設計并沒有考慮到勒索軟件運營商的要求。例如，使用大多數工具，可以僅將數據上傳到一臺主機。如果該主機已關閉，則必須手動指定另一臺主機。犯罪基礎設施被摧毀或落入LEA手中的可能性總是存在的。為了提供更大的靈活性并克服這些限制，StealBIT提供了一個數據可以被竊取到的硬編碼主機列表。如果第一個主機由于某種原因關閉，則嘗試第二個主機。

　　勒索軟件運營商的要求是公開可用的工具無法滿足的。其中一項要求是不泄露所有數據，而只泄露有趣的數據。在 StealBIT 中，這是通過硬編碼應提取的擴展列表來實現的。另一個功能是在上傳數據時發送附屬 ID。

　　在下圖中，研究人員將數據泄露與其他工具的數據泄露進行了比較：

　　SoftShade 部署 Fendr 滲透客戶端

　　Fendr，也稱為 Exmatter，是一種惡意數據泄露工具，被 BlackMatter、Conti 和 BlackCat 等多個勒索軟件組織使用。在我們觀察到的所有 BlackMatter 和 Conti 事件中都沒有看到 Fendr，但我們確實在所有與 BlackCat 相關的事件中看到了它們。因此，我們認為 Fendr 被參與了一些附屬計劃。

　　在SoftShade內部，開發人員將其稱為“file_sender”和“sender2”。該惡意軟件是用 C# .Net 編寫的，并且經常與 BlackMatter 和 Conti 惡意軟件一起部署為打包的 .Net 可執行文件，但與 Conti 和 BlackCat 勒索軟件一起部署的大多數示例都沒有打包（2021 年 11 月的一次 Conti 事件除外）。它旨在有效管理受害系統上的大量選擇性文件收集和上傳活動，然后將其從系統中刪除。Fendr 由多個開源庫構建而成，它的設計顯然是在勒索軟件領域成熟和專業經驗的結果，可以處理各種Windows系統和網絡上任意的大文件量。

　　同樣有趣的是 Fendr 及其選擇的勒索軟件的部署和打包，在每個附屬計劃中（除了一次 Conti 事件），勒索軟件和 Fendr 通過網絡同時傳送到多個系統，如“v2.exe”和“v2c.exe”，或“v2.exe”和“sender2.exe”。這種同步推動似乎優先考慮協調和效率，而不是提高被發現的風險。在一個與const相關的異常中，一個Fendr變體被作為“\\hostname\$temp\sender2.exe”通過網絡推送到許多系統。

　　趨勢3：勒索軟件組織在地緣政治沖突中會出現政治偏向

　　攻擊者利用新聞頭條來實現他們的惡意目標。研究人員在全球 Covid-19 初始階段看到了這一點，當時與 Covid-19 相關的垃圾郵件和網絡釣魚電子郵件激增。2022年俄烏沖突也是如此。

　　通常在這樣的地緣政治沖突中，人們會將網絡攻擊的源頭與國家支持的攻擊組織聯系起來。但事實并非總是如此，因為我們注意到，在這場沖突中，出現了一種新型的參與方式：網絡犯罪論壇和勒索軟件組織對形勢做出反應，并采取行動。

　　2 月 25 日，Conti 在其新聞網站上發布了一條消息，聲明如果俄羅斯成為網絡攻擊的目標，它將以全部能力對任何“敵人”的關鍵基礎設施進行報復。這可能是網絡犯罪組織公開支持民族國家的罕見例子。結果，一名據稱是烏克蘭人的成員在網上分享了聊天和其他內部 Conti 相關信息。

　　Conti 勒索軟件組織在其新聞網站上發布警告消息

　　另一方面，還有其他社區，如“匿名者”、“烏克蘭IT軍”和“白俄羅斯網絡游擊隊”公開支持烏克蘭。

　　沖突開始期間幾個組織和論壇的立場如下圖所示：

　　Freeud：具有清除功能的全新勒索軟件

　　卡巴斯基最近發現了支持烏克蘭的全新勒索軟件變種 Freeud。Freeud的勒索信說俄羅斯軍隊應該離開烏克蘭。單詞的選擇和筆記的書寫方式表明它是由以俄語為母語的人寫的。惡意軟件開發者的政治觀點不僅通過贖金票據表達，還通過惡意軟件功能表達。其中之一是清除功能。如果惡意軟件包含文件列表，而不是加密，惡意軟件會將它們從系統中清除。

　　另一個突出的特性是惡意軟件的高質量，其應用的加密方法和使用多線程的方式突出了這一點。

　　GoRansom

　　GoRansom 于 2 月底在烏克蘭被發現，同時進行了 HermeticWiper 攻擊。GoRansom 所做的一些事情與其他勒索軟件變體不同：

　　它會創建數百個副本并運行它們；

　　函數命名方案參考美國總統選舉；

　　沒有混淆，它具有非常簡單的功能；

　　出于這些原因，我們認為它的創建是為了提高烏克蘭網絡行動的效率。

　　Stormous

　　大多數情況下，當我們分析 PHP 代碼時，它要么是 web shell，要么是一些僵尸網絡面板代碼。Stormous是少數例外。除了作為后門之外，它還包含勒索軟件功能。攻擊者尋找支持 PHP 技術的 Web 服務器和易受 Web 應用程序攻擊的漏洞。

　　對惡意軟件的分析表明，攻擊者是來自北非地區的阿拉伯。

　　PHP 腳本提供了一個通過 HTTP 進行遠程交互的 Web 界面，其中提供了幾個加密選項：“OpenSSL”、“Mcrypt”和“Xor”。很有可能是由于目標服務器的外部考慮因素，比如運行在服務器上的PHP版本，所以將這三個擴展開發到腳本中。

　　DoubleZero wiper瞄準烏克蘭

　　DoubleZero wiper最初由烏克蘭 CERT 于 3 月 22 日發布。它是用 C# 編寫的全新wiper；它與任何其他已知的wiper都不同，并且僅針對烏克蘭實體。二進制文件本身被未知的 C# 混淆器嚴重混淆。類和方法名是隨機生成的。

　　混淆

　　控制流是使用一種功能扁平化機制來組織的，這種機制創建的目的是減緩對惡意代碼的分析。

　　混淆反編譯代碼

　　當所有的準備工作都結束后，惡意軟件開始它的清除操作。首先，它通過將文件夾名稱與硬編碼列表進行比較來檢查用戶（非系統文件），并開始使用一個非常有趣的NtFsControlFile API實現來清除它們。

　　硬編碼的文件夾列表

　　文件清除

　　NtFsControlFile 例程將控制代碼直接發送到指定的文件系統或文件系統過濾器驅動程序，使相應的驅動程序執行指定的操作。如上圖所示，控制代碼的值為622792 (0x980C8in十六進制)，對應 FCSTL 結構的 FSCTL_SET_ZERO_DATA 控制代碼。文件中的數據將被 intPtr2 變量指向的零值覆蓋。如果函數失敗，wiper 將執行標準的 .Net FileStream.Write 函數用于相同目的，然后惡意軟件會清除找到的系統文件。

　　最后，惡意軟件會刪除 HKU、HKLM 中的 Windows 注冊表樹子項，并阻止“lsass”進程以重新啟動受感染的設備。

　　總結

　　近年來，勒索軟件組織從零散的組織發展成為具有鮮明產業特征的企業。因此，攻擊變得更加復雜和更有針對性，使受害者面臨更多威脅。