上个月,卡巴斯基实验室的研究人员在暗网勒索软件论坛上发现了一个新型恶意软件,该恶意软件是用 Rust 编写的,可以在 Windows、Linux 和 ESXi 系统上运行,研究人员通过卡巴斯基安全网络 (KSN) 找到了一些样本。
Luna 中可用的命令行选项
从可用的命令行选项来看,Luna 相当简单。但是,它使用的加密方案并不那么典型,因为它涉及 x25519 和 AES,这是勒索软件方案中不经常遇到的组合。
Linux 和 ESXi 示例都是使用相同的源代码编译的,与 Windows 版本相比有一些细微的变化。例如,如果 Linux 示例在没有命令行参数的情况下执行,它们将不会运行。相反,它们将显示可以使用的可用参数。其余代码与 Windows 版本相比没有显着变化。
开发者称 Luna 只与讲俄语的机构合作。此外,在二进制文件中硬编码的赎金记录包含拼写错误。例如,它说“a little team”而不是“a small team”。因此,我们假设 Luna 背后的开发者是讲俄语的人。由于 Luna 是一个新发现的组织,关于其受害者的数据仍然很少。
Luna 证实了跨平台勒索软件的趋势:当前的勒索软件组织严重依赖 Golang 和 Rust 等语言,其中就包括 BlackCat 和 Hive。这些语言与平台无关,用这些语言编写的勒索软件可以很容易地从一个平台移植到其他平台,因此攻击可以同时针对不同的操作系统。除此之外,跨平台语言有助于规避静态分析。
Black Basta 是一种用 C++ 编写的相对较新的勒索软件变体,于 2022 年 2 月首次被发现。该恶意软件、基础设施和活动当时仍处于开发模式。例如,受害者博客尚未上线,但 Black Basta 网站已经可供受害者使用。
Black Basta 支持命令行参数“-forcepath”,该参数只用于加密指定目录下的文件。否则,整个系统(除某些关键目录外)将被加密。
两个月后,也就是四月,勒索软件变得更加成熟。新功能包括在加密之前以安全模式启动系统,以及出于持久性原因模仿 Windows 服务。
安全模式重启功能并不是我们每天都会遇到的,尽管它有它的优势。例如,一些终端解决方案不会在安全模式下运行,这意味着不会检测到勒索软件,并且系统中的文件可以“轻松”加密。为了以安全模式启动,勒索软件执行以下命令:
C:\Windows\SysNative\bcdedit /set safeboot networkChangesC:\Windows\System32\bcdedit /set safeboot networkChanges
早期版本的 Black Basta 包含与当前使用的不同的记录,显示出与Conti使用的赎金记录相似。这并不像看起来那么奇怪,因为当时 Black Basta 仍处于开发模式。
赎金记录比较
为了确定 Conti 和早期版本的 Black Basta 之间确实没有代码重叠,研究人员人员提取了一些样本。确实,如下图所示,只有字符串重叠。因此,代码本身没有重叠。
与 Conti 勒索软件重叠
在上个月的另一份报告中,我们讨论了 Linux 的 Black Basta 版本。它是专门为 ESXi 系统设计的,但它也可以用于 Linux 系统的一般加密,尽管这会有点麻烦。
就像 Windows 版本一样,Linux 版本只支持一个命令行参数:“-forcepath”。使用时,只对指定目录进行加密。如果没有给出参数,“/vmfs/volumes”文件夹将被加密。
该版本的加密方案使用ChaCha20和多线程技术,借助系统中不同的处理器来加速加密过程。鉴于ESXi环境通常使用多个 CPU 来执行 VM 场,恶意软件的设计(包括所选的加密算法)允许操作员尽快对环境进行加密。在加密文件之前,Black Basta 使用 chmod 命令在与用户级别相同的上下文中访问它。
对 Black Basta 组织发布的受害者的分析显示,迄今为止,该组织已成功在很短的时间内攻击了 40 多名不同的受害者。受害者博客显示,包括制造、电子、承包商等在内的各个业务部门都受到了影响。根据分析数据,我们可以看到欧洲、亚洲和美国也受到了攻击。
参考及来源:https://securelist.com/luna-black-basta-ransomware/106950/