Snatch,BianLian 和 Agenda都出現了最新的變體

語言: CN / TW / HK

FortiGuard Labs每兩週收集一次關於勒索軟體變體的資料,追蹤分析發現Snatch,BianLian 和 Agenda都出現了最新的變體。這三個惡意軟體都是用Go程式語言(Golang)編寫的。

· 受影響的平臺:Microsoft Windows

· 受影響方:Microsoft Windows 使用者

· 影響:加密受感染裝置上的檔案並要求贖金才能解密檔案

·嚴重性級別:高

Snatch

Snatch勒索軟體至少從2018年底就開始活躍了。2021年11月30日,Snatch勒索組織在其資料站點添加了一條條目,內容涉及入侵沃爾沃汽車公司的伺服器並竊取檔案,同時還附上了被盜檔案的螢幕截圖作為證據。

Snatch勒索軟體是最早用Go程式語言的組織,當時用Go編寫的勒索軟體非常罕見。巧合的是,本文中涉及的所有其他勒索軟體變種都是用Go編寫的。

Snatch 勒索軟體是一種檔案加密器,以使用著名的副檔名“.snake”而聞名,它會附加到加密檔案中。但是,已觀察到其他副檔名。其勒索信的檔名也因變體而異。

已報告的 Snatch 勒索軟體感染媒介是 RDP(遠端桌面協議)憑證暴力破解。從 Windows 11 內部版本 22528.1000 開始,Microsoft 預設啟用了帳戶鎖定策略,該策略會在登入嘗試失敗時鎖定使用者帳戶。這不僅使 RDP 暴力破解變得更加困難,而且還使任何其他密碼猜測攻擊變得更加困難。

最新的 Snatch 勒索軟體變種會加密受害者裝置上的檔案,並將“.gaqtfpr”副檔名附加到受影響的檔案中。它還會刪除一個文字檔案“HOW TO RESTORE YOUR FILES.TXT”。該勒索信包含兩個聯絡電子郵件地址以及受害者在向攻擊者傳送電子郵件時必須遵循的特定說明。

Snatch勒索軟體最新變體發出的勒索信

被最新 Snatch 勒索軟體變種加密的檔案

BianLian

用Go程式語言編寫的BianLian於2022年7月中旬首次被發現,它的運營商本月增加了他們的命令和控制(C2)基礎設施,最近開始將受害者新增到其 Tor 上的資料洩露網站上。截至撰寫本文時,至少有20家公司成為了其受害者。不過,攻擊者很有可能隱瞞了支付贖金的受害者的數量,BianLian勒索軟體的實際受害者可能會更多。

BianLian 勒索軟體公開的受害者列表

每個 BianLian 受害者都被標記為他們的國家和他們所屬的行業。根據可用的標籤,它的勒索軟體受害者至少在美國、英國和澳大利亞。目標行業包括醫療保健、教育、律師事務所、建築、媒體、製藥、營銷、度假村和金融。

BianLian勒索軟體攻擊者對受害者的分類標籤

每個受害者都有一個專門的頁面。其中包括受害企業的描述、執行長或公司總裁的姓名、他們的個人收入、這些公司的收入、資產和收入,以及洩露的檔案中包含哪些資訊。

BianLian 勒索軟體資料洩露網站上釋出的受害者資訊

有趣的是,Colin Grady 最近觀察到,由一些勒索軟體攻擊者操作的洩漏網站在 2022 年 8 月 26 日關閉了。不過,其中一些仍存在斷斷續續的使用,其中就包括BianLian和Snatch勒索軟體。

攻擊者還警告受害者,他們必須在十天內支付贖金。否則,竊取的資訊將被髮布在該勒索軟體組織的Tor網站上。為了給受害者施加額外壓力,攻擊者聲稱將向受害者的客戶和業務夥伴傳送指向被盜資訊的連結,以損害受害者的聲譽。受害者被指示使用Tox或通過電子郵件聯絡攻擊者。由於贖金金額和支付方式沒有寫在勒索信上,因此受害者將與攻擊者進行協商。

BianLian勒索軟體的勒索信

資料洩露網站上列出的聯絡方式

BianLian 勒索軟體加密的檔案

由 BianLian 勒索軟體加密的檔案具有“.bianlian”副檔名。

Agenda

Agenda是另一個基於Go的勒索軟體,於2022年6月中旬出現,根據VirusTotal報告的相關樣本,該勒索軟體可能已攻擊了南非、羅馬尼亞、立陶宛、印度、泰國、美國、加拿大和印度尼西亞。

據報道,Agenda勒索軟體的感染載體是通過使用竊取的憑證登入到面向公眾的伺服器。然後,攻擊者通過受害者的網路傳播,攻擊其他計算機。一旦攻擊者獲得網路上臨界數量的裝置的訪問權,Agenda勒索軟體就會被部署到受攻擊的裝置上。

為了規避反病毒解決方案的檢測,勒索軟體以安全模式加密檔案。這種技術已在其他臭名昭著的勒索軟體家族中觀察到,例如 REvil、BlackMatter 和 AvosLocker。附加到加密檔案的副檔名因變體而異。例如,如果勒索軟體變種使用“.fortinet”作為副檔名,“blog.docx”將更改為“blog.fortinet”。它的勒索通知的名稱以它新增到受影響檔案的副檔名開始,然後是“-RECOVER-README.txt”。

Agenda勒 索軟體留下的勒索信

反病毒簽名

通過FortiGuard的Web過濾、防病毒、FortiMail、forclient和FortiEDR服務,Fortinet客戶已經可以免受這些惡意軟體變體的攻擊,如下所示:

Snatch

FortiGuard Labs 檢測到本文中描述的最新的Snatch勒索軟體變體,具有以下反病毒簽名:

W64 / Filecoder.D083 ! tr.ransom

以下反病毒特徵可以檢測到已知的“Snatch”勒索軟體變體樣本:

· W64/Snatch.A!tr.ransom
· W32/Snatch.B!tr
· W32/Snatch.7991!tr.ransom
· W64/Snatch.BD11!tr.ransom
· W32/Snatch.C09B!tr.ransom
· W64/Ransom.A!tr
· W32/Filecoder.A!tr.ransom
· W32/Filecoder.NYH!tr
· W32/Filecoder.NYH!tr.ransom
· W32/Filecoder.NVR!tr.ransom
· W32/Filecoder.74A0!tr.ransom
· W64/Filecoder.D083!tr.ransom
· W64/Filecoder.AA!tr.ransom
· W32/Crypmod.ADEJ!tr.ransom 
· W32/DelShad.AM!tr.ransom
· W32/Trojan_Ransom.AB!tr
· W32/PossibleThreat

BianLian

FortiGuard實驗室檢測已知的BianLian勒索軟體樣本,其特徵如下:

W32 / Filecoder.BT ! tr.ransom

Agenda

FortiGuard實驗室通過以下反病毒簽名檢測到已知的Agenda勒索軟體變體:

W32/Agent.AK!tr.ransom
W32/PossibleThreat

緩解措施

1.由於易於中斷、對日常運營的破壞、對組織聲譽的潛在影響,以及不必要的破壞或釋出個人身份資訊(PII)等,保持所有AV和IPS簽名的最新是至關重要的;

2.由於大多數勒索軟體是通過網路釣魚傳送的,組織應該考慮利用旨在培訓使用者瞭解和檢測網路釣魚威脅的Fortinet解決方案;

3.FortiPhish網路釣魚模擬服務使用真實世界的模擬來幫助組織測試使用者對網路釣魚威脅的意識和警惕,並在使用者遇到有針對性的網路釣魚攻擊時培訓和加強適當的做法。

4.不支付贖金。像CISA、NCSC、FBI和HHS這樣的組織警告勒索軟體受害者不要支付贖金,部分原因是支付並不能保證檔案會被恢復。根據美國財政部外國資產控制辦公室(OFAC)的一項建議,贖金支付還可能鼓勵對手將目標鎖定在其他組織,鼓勵其他攻擊者傳播勒索軟體。