执行摘要
Key Group 勒索软件家族于 2023 年 1 月 6 日首次曝光,此后一直在继续运作。EclecticIQ 研究人员高度自信地评估,Key Group 勒索软件团伙主要是一个讲俄语、出于经济动机的威胁组织,使用 Telegram 频道keygroup777Tg 进行赎金谈判。Key Group 还有一个额外的私人(仅限受邀者)Telegram 频道来共享。
信息成员之间的人肉搜索和攻击性工具共享。根据 Telegram 消息,EclecticIQ 分析师的信心较低,认为自 2023 年 6 月 29 日起,威胁行为者可能会使用 NjRAT(一种远程管理工具 (RAT))来远程访问受害者设备。
Key Group 勒索软件使用 CBC 模式高级加密标准 (AES) 来加密文件,并将受害者设备的个人身份信息 (PII) 发送给威胁参与者。该勒索软件使用相同的静态 AES 密钥和初始化向量 (IV) 递归加密受害者数据,并使用 keygroup777tg 扩展名更改加密文件的名称。
EclecticIQ 分析师评估称,Key Group 勒索软件可被归类为低复杂度的威胁行为者。勒索软件样本包含多个加密错误,使 EclecticIQ 能够为 2023 年 8 月 3 日构建的特定勒索软件版本创建解密工具。
谁是关键小组?
Key Group 或 KEYGROUP777 是一家讲俄语的网络犯罪分子,专注于通过出售个人识别信息 (PII) 或对受感染设备的初始访问权限并获取赎金来获取经济利益。关键组织参与者使用私人 Telegram 频道分享有关攻击性工具的信息并与其成员进行沟通。该组的所有者使用别名 DARKZEUS。
据 BI.ZONE 的研究人员称,旧版本的 Key Group 勒索软件使用 Chaos 勒索软件构建器 4.0 来构建勒索软件样本并针对俄罗斯受害者。
图 1 - Key Group Telegram 频道 @keygroup777Tg
据 Telegram 消息称,自 2023 年 4 月 13 日起,Key Group 威胁行为者活跃在名为 Dark Store、darkstore[.]store 的俄罗斯地下市场。俄语网络犯罪分子和其他人利用该市场交换受损的社交媒体帐户、私人 VPN 服务和电子邮件帐户。
图 2 显示了 Key Group 勒索软件成员测试 NjRAT 恶意软件的情况:
图 2 - Key Group管理员在私人 Telegram 频道中共享的NjRAT面板
EclecticIQ 分析师观察到,Key Group 使用私人 Telegram 渠道销售 SIM 卡、共享人肉搜索数据以及远程访问 IP 摄像头服务器。
图 3 – 销售 SIM 卡
图 4 - 共享对 IP 摄像机服务器的远程访问
重点群勒索软件技术分析
加密方式
Key Group 勒索软件使用 AES 加密,以 C# 实现,使用 RijndaelManaged 类,这是一种对称加密算法。 图 5 显示了 AES_Encrypt 函数。此函数使用给定静态密码的密码块链接 (CBC) 模式下的 AES 算法对受害者数据进行加密。密码是使用基于密码的密钥派生函数 2 (PBKDF2) 和固定盐从密钥派生的。
图 5 - Key Group 勒索软件中的 AES_Encrypt 函数。
代码工作原理的简要概述:
1、RijndaelManaged 配置:该代码使用 256 位密钥大小和 128 位块大小配置 RijndaelManaged 对象。Rijndael 是 AES 所基于的算法,这些是 AES 的标准密钥和块大小。
2、初始化盐:创建预定义的盐值。加盐是一种用于为密码添加额外一层随机性的技术。
3、密码派生:代码使用 Rfc2898DeriveBytes 类从提供的静态密码和盐派生加密密钥和 IV。1000 参数指定 PBKDF2 算法中使用的迭代次数,这有助于使暴力攻击变得更加困难。
4、加密: CryptoStream用于进行加密,将加密后的数据写入MemoryStream中。
图6显示 了EncryptFile函数 。它使用给定密码加密文件,并使用新扩展名.keygroup 777tg保存加密内容。
图 6 - EncryptFile 函数
EncryptFile函数的细分:
1、创建文件信息:为给定文件创建一个FileInfo对象以获取信息,例如文件名。
2、读取文件字节:将指定文件中的所有字节读取到字节数组 bytesToBeEncrypted 中。
3、创建密码哈希:将给定密码编码为 UTF-8 字节,然后使用 SHA-256 算法对其进行哈希处理,将结果存储在 passwordBytes 中。
4、Base64 Encode File Name:将文件名以Base64格式编码并存储在变量文本中。
5、加密文件内容:调用 AES_Encrypt 方法(代码片段中未提供)使用哈希密码加密文件内容,并将结果存储在 bytes2 中。
6、替换无效字符:它将编码文件名中的任何无效字符替换为下划线。
7、写入加密字节:将加密字节写入同一目录中的新文件,并使用编码文件名和扩展名 .keygroup777tg。
8、删除原始文件:删除原始文件。
关键组勒索软件中的加密错误使 EclecticIQ 研究人员能够开发解密工具
Key Group 勒索软件使用 Base64 编码的静态密钥N0dQM0I1JCM=来加密受害者的数据。威胁行为者试图通过使用称为加盐的加密技术来增加加密数据的随机性。盐是静态的,用于每个加密过程,这在加密例程中造成了重大缺陷。这些错误帮助分析师为特定版本的 Key Group 勒索软件创建了解密工具。Python 脚本在附录 A 中共享。
图 7 - 静态加密密钥
尽管存在这些错误,根据勒索信,运营商认为受害者数据已使用军用级加密算法进行加密,如果不支付赎金,就无法恢复数据。
图 8 - 关键组勒索信
图 9 显示了 Key Group 勒索软件解密工具的示例用法,该工具由 EclecticIQ 研究人员开发,用于解密给定文件路径上的.keygroup777tg扩展文件。目前,该工具还处于验证阶段,这意味着它可能不适用于每个 Key Group 勒索软件样本。
图 9 - Key Group 勒索软件解密工具的使用示例。
从受害设备收集网络相关元数据
Key Group 勒索软件使用 URL 缩短器yip[.]su重定向到iplogger[.]org发送网络相关元数据。网络元数据包括网络浏览器指纹、IP 地址、地理位置以及受害者被勒索软件感染的日期时间。这些信息被直接发送给攻击者,这很可能帮助他们识别可能的勒索软件目标。
图 10 -从受害设备收集网络相关元数据。
关键组勒索软件使用 LOLBIN 删除 VSS;禁用反恶意软件更新
Key Group 勒索软件使用下面列出的本地二进制文件 (LOLBIN) 来删除卷影复制服务 (VSS) 并避免加密后恢复数据。
1、vssadmin deleteshadows /all /quiet:此命令使用 vssadmin 实用程序删除系统上的所有卷影副本。系统还原功能和其他备份软件使用卷影副本来创建文件和文件夹的时间点副本。
2、wmic Shadowcopy 删除:这是使用 Windows Management Instrumentation 命令行 (WMIC) 工具删除卷影副本的另一种方法。
3、bcdedit /set {default} bootstatuspolicyignoreallfailures:此命令使用 bcdedit 实用程序修改引导配置数据 (BCD) 存储。此处更改的具体设置告诉 Windows 在系统无法启动时不要执行任何操作,例如显示 Windows 错误恢复屏幕。
4、bcdedit /set {default} recoveryenabled no:此命令还使用 bcdedit 实用程序并禁用启动失败后自动启动 Windows 恢复环境 (WinRE)。
5、wbadmin delete Catalog -quiet:此命令使用 wbadmin 实用程序删除备份目录,有效删除使用 Windows Server Backup 工具创建的所有备份记录。-quiet 开关意味着该命令将在没有提示的情况下运行。
Key Group 勒索软件能够通过修改 Windows 操作系统内的主机文件来禁用各种反恶意软件解决方案的更新。图 11 显示了有针对性的反恶意软件解决方案以及到77[.]88[.]55[.]60 (合法 Yandex RU 服务器)的重定向。此外,流量被重定向到本地主机,这意味着它将被丢弃,从而有效地禁用反恶意软件更新。
图 11 - Key Group 勒索软件解密工具的使用示例。
缓解和预防
禁用 RDP(远程桌面协议):
1、如果不需要,请在计算机上禁用 RDP。
2、如果 RDP 必不可少,请使用强密码、MFA,并确保只能通过 VPN 从特定 IP 地址进行访问。
限制应用程序执行:
1、使用应用程序白名单,以便只有经过批准的软件才能运行。
2、阻止来自常见勒索软件位置(例如临时文件夹)的软件执行。
定期备份数据:
1、定期备份所有关键数据。
2、确保备份离线存储或存储在具有版本控制功能的云服务中。
3、测试备份以确保它们可以恢复。
妥协指标 (IoC)
c2e1048e1e5130e36af297c73a83aff6
09ce91b4f137a4cbc1496d3791c6e75b
d7d20a9d74a3f0b5b0b98de937ebbf85
7e1577b6e42d47b30ae597eee720d3b1
1ac0c10947e09efa8e730ea9e28d8382
604fd6351a04b871dc77b6c7ad24ff3c 转载来源:https://blog.eclecticiq.com/decrypting-key-group-ransomware-emerging-financially-motivated-cyber-crime-gang
图片来源网络侵权可联系删除
