您所在的位置: 首頁 >
新聞資訊 >
技術(shù)前沿 >
勒索軟件Retch和S.H.O概述
FortiGuard實驗室每兩周收集一次感興趣的勒索軟件變體的數(shù)據(jù),并發(fā)布有關(guān)報告,旨在讓讀者了解不斷發(fā)展的勒索軟件形勢以及抵御這些變體的緩解措施,本文要講的是Retch和S.H.O勒索軟件。
受影響的平臺:Microsoft Windows;
受影響方:Microsondft Wiows用戶;
影響:加密和泄露受害者的文件,并要求贖金解密文件;
嚴(yán)重性級別:高;
Retch勒索軟件概述
Retch是2023年8月中旬首次發(fā)現(xiàn)的一種新的勒索軟件變體,它在受攻擊設(shè)備上加密文件,并留下兩張勒索信,要求受害者支付贖金來解密文件。
攻擊媒介
雖然目前無法獲得有關(guān)Retch勒索軟件攻擊者使用的攻擊媒介的信息,但是它可能與已知其他勒索軟件組織有顯著關(guān)聯(lián)。
目前,來自以下國家的Retch勒索軟件樣本已提交給公共文件掃描服務(wù):
美國
伊朗
德國
俄羅斯
法國
哥倫比亞
韓國
意大利
一旦勒索軟件運行,它就會查找并加密具有以下文件擴(kuò)展名的文件:
以下目錄不支持文件加密:
"Windows"
"Program Files"
"Program Files (x86)"
勒索軟件為加密文件添加了“.Retch”擴(kuò)展名。
由Retch勒索軟件加密的文件
然后,它會在每個加密文件的文件夾中放上一條標(biāo)記為“Message.txt”的勒索信。
Retch勒索軟件釋放的勒索信
在勒索信中,攻擊者要求受害者支付價值300歐元的比特幣來解密文件,由于贖金要求較低,Retch勒索軟件的攻擊目標(biāo)很可能是一般消費者而不是企業(yè)。如下圖所示,贖金信息有法語和英語兩種版本,這使我們相信Retch勒索軟件主要針對法國用戶。然而,進(jìn)一步的調(diào)查顯示,情況并非如此。
研究人員還發(fā)現(xiàn),放在桌面上的勒索信與“Message.txt”不同。留在桌面上的勒索信標(biāo)有 “HOW TO RECOVER YOUR FILES.txt”,并要求受害者支付價值1000美元的比特幣進(jìn)行文件解密。這份勒索信有一個不同的聯(lián)系電子郵件地址,其中包括攻擊者的比特幣錢包地址。
Retch勒索軟件在桌面上留下的勒索信標(biāo)有 “HOW TO RECOVER YOUR FILES.txt”
事實證明,Retch勒索軟件是基于一個公開的勒索軟件源代碼開發(fā)的,該源代碼聲稱用于教育目的,似乎是基于一款著名的開源勒索軟件“HiddenTear”。默認(rèn)情況下,開源勒索軟件的勒索信如下圖所示,攻擊者似乎只在桌面上定制了只有英文的勒索信,而其他所有位置的勒索信都沒有受到影響,這表明Retch勒索軟件并沒有像最初想象的那樣針對法國用戶。如上所述,向公共文件掃描服務(wù)提交文件的國家很普遍,這進(jìn)一步表明研究人員的懷疑是正確的。
在我們進(jìn)行調(diào)查時,攻擊者的比特幣錢包沒有記錄任何交易。
S.H.O勒索軟件概述
攻擊媒介
目前還沒有關(guān)于S.H.O勒索軟件攻擊者使用的攻擊媒介的信息,不過,它可能與已知其他勒索軟件組織有顯著關(guān)聯(lián)。
S.H.O勒索軟件樣本已提交給以下國家的公共文件掃描服務(wù):
美國
加拿大
勒索軟件執(zhí)行
勒索軟件運行后,會對受攻擊設(shè)備上的文件進(jìn)行加密,并添加五個隨機(jī)字母和數(shù)字作為文件擴(kuò)展名。
S.H.O勒索軟件加密的文件
S.H.O嘗試使用以下擴(kuò)展名加密文件:
以下文件被排除在所有目錄外:
排除加密的文件列表
這些目錄也被排除在加密內(nèi)容之外:
排除加密的目錄列表
S.H.O使用RSA公鑰和Microsoft“Rijndael Managed”C#庫對每個文件進(jìn)行加密。
文件加密例程
在完成加密后,它會用自己的壁紙?zhí)鎿Q桌面壁紙,要求受害者找到并閱讀文件“readme.txt”,這是一封勒索信。
被S.H.O勒索軟件取代的壁紙
FortiGuard實驗室發(fā)現(xiàn)了兩種S.H.O勒索軟件變體,它們留下了不同的勒索信,盡管勒索信上有屬于攻擊者的不同比特幣地址,但贖金費用始終保持在200美元。
S.H.O勒索軟件變體留下的勒索信
另一個S.H.O勒索軟件變體留下的勒索信
贖金信息恐嚇受害者支付贖金,在調(diào)查時,這兩個比特幣錢包都不可用。
Fortinet客戶已經(jīng)通過其AntiVirus和FortiEDR服務(wù)受到保護(hù),免受這些惡意軟件變體的影響,如下所示:
FortiGuard實驗室檢測到具有以下殺毒軟件簽名的Retch勒索軟件樣本:
1.MSIL/Filecoder.AK!tr.ransom:
FortiGuard實驗室檢測的S.H.O勒索軟件樣本具有以下反病毒簽名。
2.MSIL/Filecoder.APU!tr.ransom:FortiGuard防病毒服務(wù)包括FortiGate、FortiMail、forticclient和FortiEDR。運行當(dāng)前防病毒更新的Fortinet EPP客戶也受到保護(hù)。
IOC
緩解措施
1.由于易受干擾、日常運營受攻擊、對組織聲譽的潛在影響,以及個人身份信息(PII)的不必要破壞或發(fā)布等,保持所有AV和IPS簽名的最新性至關(guān)重要。
2.由于大多數(shù)勒索軟件都是通過網(wǎng)絡(luò)釣魚傳播的,組織應(yīng)考慮利用Fortinet解決方案來培訓(xùn)用戶了解和檢測網(wǎng)絡(luò)釣魚威脅。
3.FortiFish網(wǎng)絡(luò)釣魚模擬服務(wù)使用真實世界的模擬來幫助組織測試用戶對網(wǎng)絡(luò)釣魚威脅的意識和警惕性,并在用戶遇到有針對性的網(wǎng)絡(luò)釣魚攻擊時培訓(xùn)和加強(qiáng)正確的做法。
4.增加內(nèi)部培訓(xùn),幫助最終用戶學(xué)習(xí)如何識別和保護(hù)自己免受各種類型的網(wǎng)絡(luò)釣魚攻擊,并可以輕松添加到內(nèi)部培訓(xùn)計劃中。
5.組織需要對數(shù)據(jù)備份的頻率、位置和安全性進(jìn)行根本性的更改,以有效應(yīng)對勒索軟件不斷演變和迅速擴(kuò)大的風(fēng)險。再加上數(shù)字供應(yīng)鏈的攻擊和員工遠(yuǎn)程辦公進(jìn)入網(wǎng)絡(luò),攻擊可能來自任何地方,這是一個真正的風(fēng)險。
6.基于云的安全解決方案,如SASE,用于保護(hù)離網(wǎng)設(shè)備,高級終端安全,如EDR(終端檢測和響應(yīng))解決方案,可以在攻擊中期中斷惡意軟件,以及零信任訪問和基于策略和上下文限制,對應(yīng)用程序和資源的訪問的網(wǎng)絡(luò)分段策略,都應(yīng)該進(jìn)行調(diào)查,以最大限度地降低風(fēng)險并減少成功勒索軟件攻擊的影響。
作為業(yè)界領(lǐng)先的完全集成安全結(jié)構(gòu)的一部分,F(xiàn)ortinet還提供了廣泛的技術(shù)和基于人工的即服務(wù)產(chǎn)品組合,為你的安全生態(tài)系統(tǒng)提供本地協(xié)同和自動化。
7.CISA、NCSC、FBI和HHS等組織警告勒索軟件受害者不要支付贖金,部分原因是贖金并不能保證文件會被找回。
參考及來源:
https://www.fortinet.com/blog/threat-research/ransomware-roundup-retch-and-sho
原文來源:嘶吼專業(yè)版