LockerGoga旨在通过作为勒索软件三重奏一部分的努力来攻击全球关键基础设施

调查人员说,LockerGoga,MegaCortex和Ryuk勒索软件被用于攻击,针对全球的关键基础设施。

勒索软件已在全世界的企业中引起严重的混乱。公司担心针对越来越多的关键行业的勒索软件攻击的增加将破坏他们的数据库。

荷兰政府警告三种可怕的勒索软件

荷兰国家网络安全中心的一份报告指出,全球至少有1800家企业受到勒索软件的影响。该报告还重点介绍了导致大规模感染的三个文件加密恶意软件。这些是LockerGoga,MegaCortex和Ryuk勒索软件。根据调查人员的说法,这三种勒索软件威胁使用相同的数字基础架构,被认为是“常见的勒索软件形式”。

关键基础设施受到影响

尽管NCSC表示,恶意软件受害者约为1800名,但目标公司实际数量可能更高 。受影响组织的名称仍然未知,但是,调查人员表示,勒索软件攻击针对全世界的关键基础设施。

NCSC发现了一些证据,证明Ryuk已被用于针对政府,教育和医疗机构的勒索软件攻击 。西班牙跨国公司Prosegur是其最大的受害者之一。针对它的攻击导致内部和外部系统都被隔离,从而切断了与客户的通信。

MegaCortex以瞄准企业网络而闻名。勒索软件会加密文件,更改用户密码并威胁说如果受害者不支付赎金就发布受害者的文件。 Sophos是恶意软件的受害者之一,他报告说其网络上的Emotet或Qakbot木马感染了MegaCortex。

同时,LockerGoga勒索软件已被用于针对关键基础设施的多种恶意软件攻击,例如法国的Altran Technologies,美国的化学公司Hexion和Momentive以及挪威的Norsk Hydro,迫使他们切换到手动操作。

通过有针对性的攻击安装了勒索软件三重奏

LockerGoga已知是专门针对大型公司的一波高水平感染的一部分。已经将负责攻击的组织确定为来自俄罗斯的组织,这些组织是从其他组织租用基础设施的。此外,与基础设施关联的团体允许以大公司为目标并用LockerGoga感染它们。

网络专家透露,大多数攻击是由“专业犯罪组织”以有组织的方式进行的。当其中一个小组正在处理渗透工作时,另一个小组正在部署恶意软件。通过使用TrickBot和Emotet恶意软件威胁的变体,易受攻击的系统可能会感染LockerGoga,从而导致它通过后门丢弃有效载荷。 LockerGoga的有效负载可以通过系统管理工具的重命名版本执行。 LockerGoga的初始传播通常是通过受感染的终端传播到网络中其他连接的系统的。

根据分析MegaCortex勒索软件的研究人员的说法,黑客首先获得对网络的访问权,然后危害Windows域控制器。破坏域控制器后,犯罪分子将安装Cobalt Strike,向他们打开反壳。

获得对网络的完全访问权限后,黑客将使用PsExec将批处理文件和名为winnit.exe的勒索软件传播到其余计算机,如下图1所示。然后将执行批处理文件,并且所有工作站将被立即加密。


图1.批处理文件-来源:Bleepstatic.com

启动winnit.exe可执行文件后,应提供特定的base64编码的字符串,以便MegaCortex可以提取DLL并将其注入内存。勒索软件加密文件时,会将.megac0rtx扩展名附加到其名称和MEGA-G8 =文件标记中,如下图2所示。

根据研究人员的说法,MegaCortex的开发是由实时黑客进行监控,然后在执行完成后进行清理,类似于LockerGoga所采用的方法。


图2. MegaCortex文件加密-来源:Bleepstatic.com

MegaCortex的赎金记录称为“ !!! _ READ-ME _ !!!。txt”,并保存在受害者的桌面上。它包含攻击者的电子邮件和付款说明。赎金金额通常在2-3个比特币到600 BTC之间,如下图3所示。


图3. MegaCortex Ransom注意-来源:Bleepstatic.com

在分析了Ryuk勒索软件之后,安全专家表示,它使用了“局域网唤醒”功能(一种硬件功能,可以通过向设备发送特殊的网络数据包来唤醒或打开已关闭电源的设备)。在受损网络上关闭电源的设备上进行加密,以取得更大的成功。一旦Ryuk被执行,它将生成带有参数'8 LAN'的子进程,如下图4所示。


图4.带有参数“ 8 LAN”的生成子流程-来源:Bleepstatic.com

然后,勒索软件将扫描设备的ARP表,并检查条目是否为“ 10。”,“ 172.16。”和“ 192.168”的专用IP地址子网的一部分,如下图5所示。还需要注意的一个方面是,LockerGoga能够将问题命令行重新定位到TEMP文件夹,并对其进行重命名以实质上逃避检测。 LockerGoga的子进程还具有加密数据的任务,这是其他勒索软件威胁所采用的一种方法。


图5.检查专用网络-来源:Bleepstatic.com

如果ARP条目是这些网络中任何一个的一部分,Ryuk勒索软件将向设备的MAC地址发送一个局域网唤醒(WoL)数据包以使其通电。 WoL请求以“魔术包”的形式出现,其中包含“ FF FF FF FF FF FF FF FF FF”,如下图6所示。


图6. Ryuk Ransomware发送WoL数据包-来源:Bleepstatic.com

如果WoL请求成功,Ryuk将尝试挂载远程设备的C $管理共享。一旦安装了共享,远程计算机的驱动器也将被加密。

与Ryuk勒索软件相关的电子邮件地址是eliasmarco@tutanota.com和CamdenScott@protonmail.com,包含在其勒索记录中,如下图7所示。


图7. Ryuk Ransom注意-来源:Zdnet.com

几乎由同一批黑客利用的LockerGoga于2019年1月首次发现,当时勒索软件袭击了法国公司Altran Technologies的系统。由于此攻击,该公司的网络必须立即关闭。

据网络专家称,LockerGoga勒索软件通常针对DOC,DOT,WBK,DOCX,DOTX,DOCB,XLM,XLSX,XLTX,XLSB,XLW,PPT,POT,PPS,PPTX,POTX,PPSX,SLDX和PDF文件。但是,如果使用“ -w”命令行参数启动恶意软件,它将攻击所有文件类型。

支持的其他开关还有“ -k”和“ -m”,用于base 64编码并提供赎金记录中包含的电子邮件地址。

加密目标文件后,LockerGoga将在文件后附加.locked扩展名。这意味着将首先加密名为test.jpg的文件,然后将其重命名为test.jpg.locked,如下图8所示。


图8. LockerGoga加密文件-来源:Bleepstatic.com

当勒索软件对计算机上的文件进行加密时,它将在桌面上放置一个名为README-NOW.txt的勒索便条,其中包括用于支付说明以交换解密密钥的电子邮件地址,如下图9所示。


图9. LockerGoga赎金注-来源:Bleepstatic.com

有关LockerGoga勒索软件的一个有趣的事实是,它使用了有效的证书,这增加了将其部署到受害者计算机上的机会,而不会引起任何怀疑。但是,如果您注意要求获得证书授权的Windows警报,则会发现有问题,因为它是Windows Services的宿主进程,并且签名来自MIKL Limited(英国注册的IT咨询公司)。 (2014年12月17日),如下图10所示。


图10. LockerGoga证书-来源:Bleepstatic.com

据研究人员称,到目前为止,LockerGoga勒索软件的已知文件样本为'worker'和'worker32',勒索软件启动的进程名称类似于Microsoft用于Windows服务的名称,例如'svch0st'或' svchub。”

与LockerGoga勒索软件相关联的电子邮件地址是CottleAkela@protonmail.com和QyavauZehyco1994@o2.pl,包含在其勒索通知中,如下图11所示。


图11. LockerGoga赎金注-来源:Bleepstatic.com

勒索软件攻击持续增加

三个恶意软件足以关闭大公司的运营这一事实不仅令人不安。据安全专家称,勒索软件攻击的成功使攻击者更加坚定地实现其目标,而目标企业却在不断增长。

向企业受害者传播勒索软件绝不是入侵最严重的部分。在某些情况下,文件加密之前是数据泄露,可以将其出售给其他黑客或用于进行破坏活动。因此,网络专家警告说,只要受害者支付赎金,攻击就将继续,而且给企业留下的唯一一件事就是提高其在线安全性。

January 21, 2020
正在加载...

Cyclonis Backup Details & Terms

免费的基本 Cyclonis 备份计划为您提供 2 GB 的云存储空间和完整的功能!无需信用卡。需要更多存储空间?立即购买更大的 Cyclonis 备份计划!要详细了解我们的政策和定价,请参阅服务条款隐私政策折扣条款购买页面。如果您想卸载应用程序,请访问卸载说明页面。

Cyclonis Password Manager Details & Terms

免费试用:30 天一次性优惠!免费试用不需要信用卡。免费试用期间的全部功能。 (免费试用后的完整功能需要订阅购买。)要了解有关我们的政策和定价的更多信息,请参阅EULA隐私政策折扣条款购买页面。如果您想卸载应用程序,请访问卸载说明页面。