打開(kāi)網(wǎng)易新聞 查看精彩圖片

一種名為 VanHelsing 的新型多平臺(tái)勒索軟件即服務(wù)(RaaS)操作已經(jīng)出現(xiàn),其攻擊目標(biāo)涵蓋 Windows、Linux、BSD、ARM 和 ESXi 系統(tǒng)。

3 月 7 日,VanHelsing首次在地下網(wǎng)絡(luò)犯罪平臺(tái)上進(jìn)行推廣,可使經(jīng)驗(yàn)較多的會(huì)員免費(fèi)加入,但要求經(jīng)驗(yàn)較少的威脅者繳納 5000 美元的押金。

CYFIRMA 在上周晚些時(shí)候首次記錄了這一新的勒索軟件操作,Check Point Research 則進(jìn)行了更深入的分析,并于昨日發(fā)表相關(guān)報(bào)告。

VanHelsing內(nèi)部運(yùn)作
打開(kāi)網(wǎng)易新聞 查看精彩圖片
VanHelsing內(nèi)部運(yùn)作

Check Point 的分析師報(bào)告稱,VanHelsing 是一個(gè)俄羅斯的網(wǎng)絡(luò)犯罪項(xiàng)目,該項(xiàng)目禁止針對(duì)獨(dú)聯(lián)體(CIS)國(guó)家的系統(tǒng)進(jìn)行攻擊。

聯(lián)盟會(huì)員能夠保留 80% 的贖金,而運(yùn)營(yíng)商收取 20% 的傭金。付款通過(guò)自動(dòng)托管系統(tǒng)處理,該系統(tǒng)采用兩個(gè)區(qū)塊鏈確認(rèn)來(lái)保障安全。

打開(kāi)網(wǎng)易新聞 查看精彩圖片

VanHelsing 廣告邀請(qǐng)會(huì)員加入

被接受的附屬機(jī)構(gòu)可以訪問(wèn)具有完整操作自動(dòng)化的面板,同時(shí)還能獲得開(kāi)發(fā)團(tuán)隊(duì)的直接支持。

從受害者網(wǎng)絡(luò)竊取的文件直接存儲(chǔ)在 VanHelsing 行動(dòng)的服務(wù)器上。核心團(tuán)隊(duì)聲稱,他們會(huì)定期進(jìn)行滲透測(cè)試,以確保系統(tǒng)具備一流的安全性和可靠性。

目前,暗網(wǎng)上的 VanHelsing 勒索門(mén)戶列出了三名受害者,其中兩名在美國(guó),一名在法國(guó)。其中一個(gè)受害者是德克薩斯州的一個(gè)城市,另外兩名受害者是科技公司。

打開(kāi)網(wǎng)易新聞 查看精彩圖片

VanHelsing 勒索頁(yè)面

勒索軟件運(yùn)營(yíng)商威脅稱,如果他們的財(cái)務(wù)要求得不到滿足,將在未來(lái)幾天泄露被盜文件。根據(jù) Check Point 的調(diào)查,贖金金額為 50 萬(wàn)美元。

打開(kāi)網(wǎng)易新聞 查看精彩圖片

VanHelsing 的勒索信

隱身模式
打開(kāi)網(wǎng)易新聞 查看精彩圖片
隱身模式

VanHelsing 勒索軟件由 C++ 編寫(xiě),有證據(jù)顯示它于 3 月 16 日首次在實(shí)際環(huán)境中部署。

VanHelsing 使用 ChaCha20 算法進(jìn)行文件加密,為每個(gè)文件生成一個(gè) 32 字節(jié)(256 位)的對(duì)稱密鑰和一個(gè) 12 字節(jié)的隨機(jī)數(shù)。然后,使用嵌入的 Curve25519 公鑰加密這些值,并將生成的加密密鑰 / 隨機(jī)數(shù)對(duì)存儲(chǔ)在加密文件中。

VanHelsing 對(duì)大于 1GB 的文件進(jìn)行部分加密,但對(duì)較小的文件則運(yùn)行完整的加密過(guò)程。

該惡意軟件支持豐富的 CLI 定制,以便針對(duì)每個(gè)受害者定制攻擊。例如,可以針對(duì)特定驅(qū)動(dòng)器和文件夾、限制加密范圍、通過(guò) SMB 傳播、跳過(guò)卷影副本刪除,以及啟用兩相隱身模式。

在正常加密模式下,VanHelsing 會(huì)枚舉文件和文件夾,加密文件內(nèi)容,并重命名生成的文件,附加 “.vanhelsing” 擴(kuò)展名。

在隱身模式下,勒索軟件將加密與文件重命名分離。由于文件 I/O 模式模仿正常系統(tǒng)行為,因此不太可能觸發(fā)警報(bào)。即使安全工具在重命名階段開(kāi)始時(shí)做出反應(yīng),在第二遍操作時(shí),整個(gè)目標(biāo)數(shù)據(jù)集也已經(jīng)被加密了。

打開(kāi)網(wǎng)易新聞 查看精彩圖片

隱形加密功能

盡管 VanHelsing 看起來(lái)很先進(jìn)且發(fā)展迅速,但 Check Point 注意到了一些代碼不成熟的問(wèn)題。其中包括文件擴(kuò)展名不匹配、可能觸發(fā)雙重加密的排除列表邏輯錯(cuò)誤,以及幾個(gè)未實(shí)現(xiàn)的命令行標(biāo)志。盡管存在這些錯(cuò)誤,VanHelsing 仍然是一個(gè)令人擔(dān)憂且不斷上升的威脅,正在逐漸受到更多關(guān)注。

參考及來(lái)源:https://www.bleepingcomputer.com/news/security/new-vanhelsing-ransomware-targets-windows-arm-esxi-systems/