当勒索软件在野外取得成功时,网络犯罪分子通常会使用相同的勒索软件样本(稍微调整其代码库)来试点其他项目。例如,他们可能会更改加密方案、勒索记录或命令与控制 (C2) 通信渠道,然后将自己重新标记为“新”勒索软件。 这些细微的调整可能会在分类过程中让安全研究人员感到困惑。将观察到/检测到的危害指标 (IOC) 归因于相应的恶意软件/勒索软件非常重要。然而,由于新重新命名的名称也与旧的恶意软件相关,因此在某些情况下可能会产生重复。因此,如果分析师/研究人员发现多个恶意软件家族与上传的样本绑定在一起,那么他们在调查 IOC 哈希时可能会遇到障碍。例如,当有人泄露Babuk勒索软件代码时,大量新的勒索软件,如Rorschach、Mario、ESXi、RTM Locker等很快就出现了。Conti源代码泄露时也发生了同样的情况。在这些情况下,确认通常需要逆向工程。
案例研究:ADHUBLLKA 勒索软件
2023 年 8 月,一种新的勒索软件病毒(文件名:r.exe)引起了我们的注意。我们的分析表明,新发现的勒索软件自 2023 年 8 月 1 日起就开始活跃,是一种名为ADHUBLLKA 勒索软件的早期变种的衍生版本,该变种于 2020 年 1 月 13 日首次出现。
在VirusTotal中,您可以找到有关此案例的以下信息(MD5:0f77484639b1193ad66e313040c92571b):
多个引擎已经检测到该勒索软件,通过追踪其谱系,我们发现了自 2016 年以来一直流行的CryptoLocker的踪迹。由于许多恶意软件代码库都完全匹配,因此我们不能断定它是 CryptoLocker。相反,我们必须查看其他参数,例如联系电子邮件、勒索信息和执行方法,因为这些都在分析中发挥着至关重要的作用。
赎金字条透露了几个重要细节。
威胁行为者要求受害者通过基于 TOR 的受害者门户进行通信,以在支付赎金后获取解密密钥。
TOR 地址:mmcbkgua72og66w4jz3qcxkkhefax754pg6iknmtfujvkt2j65ffraad.onion
备用通信通道:https://yip.su/2QstD5
深入研究暗网,我们可以提取有关协商阶段的更多信息。
mmcbkgua72og66w4jz3qcxkkhefax754pg6iknmtfujvkt2j65ffraad.onion
勒索软件组织建议受感染的受害者直接联系他们,并开具进一步协商的票据,例如提交样本文件、付款协商,最后在付款后接收解密密钥。
提交票证后,系统会即时创建一个通道,并自动弹出此默认消息:
从这封信中可以看出,勒索软件运营商似乎不愿意谈判,坚持最初对解密密钥的要求。
运营商不会直接向受害者提供解密的示例屏幕截图,而是在图像托管服务ImgBB上提供了一个。这证实了该组织中有一个正在工作的解密器。
通信IP:
104.18.14.101
20.99.184.37
192.229.211.108
23.216.147.61
解密密钥成本:1350 美元或 0.047BTC
注意:为了清除他/她的踪迹,威胁行为者可以在问题解决后删除发送给受害者的消息以及任何创建的票证。
文件执行
该文件名为“ r.exe ”。一旦执行,它就会开始启动恶意任务,例如进程注入或在受害者环境中删除恶意可执行文件(AddInProcess32.exe )并初始化感染链。所有文件都将使用受影响文件附加的“ .MMM ”扩展名进行加密。
所有加密文件都包含字符串“ CRYPTO LOCKER ”以及加密的乱码文本。
追踪勒索软件家族
在追踪该勒索软件样本时,您必须考虑一些参数,例如样本、勒索信息和电子邮件地址,以找到勒索软件的根源。
很明显,这不仅限于单个家庭。族谱可以在这里找到:
ADHUBLLKA(死亡赎金) —> BIT —> LOLKEK —> OBZ —> U2K —> TZW
以下是在野外观察到的每个变体的哈希值列表以及时间线:
此图显示了最受感染/提供的赎金记录,其中受害者被要求联系 TOR 域地址。
所有 v2 Tor Onion 链接现已失效。
勒索信分析
在这里,我们可以分析一些来自不同变体的勒索软件笔记,这些勒索软件笔记将赎金笔记扔到了受害者的电脑上。
2019 Variant
Attention!
All your files, documents, photos, databases and other important files are encrypted
The only method of recovering files is to purchase an unique decryptor. Only we can give you this decryptor and only we can recover your files.
On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.
Alternate communication channel here: http://helpqvrg3cc5mvb3.onion/
2022-23 Variants
Attention!
All your files, documents, photos, databases and other important files are encrypted
The only method of recovering files is to purchase an unique decryptor. Only we can give you this decryptor and only we can recover your files.
Alternate communication channel here: https://yip.su/2QstD5
U2K Variant
Attention!
All your files, documents, photos, databases and other important files are encrypted
The only method of recovering files is to purchase an unique decryptor. Only we can give you this decryptor and only we can recover your files.
The server with your decryptor is in a closed network TOR.
TZW Variant
Attention!
All your files, documents, photos, databases and other important files are encrypted
The only method of recovering files is to purchase an unique decryptor. Only we can give you this decryptor and only we can recover your files.
The server with your decryptor is in a closed network TOR. 上述勒索信息表明该组织已将其通信渠道从 v2 TOR Onion URL 更改为v3 TOR URL。这是因为 TOR 社区已弃用 v2 Onion 域。
需要注意的是,附加一句——“带有解密器的服务器位于封闭网络 TOR 中。” — 只能在两个新变体中看到:TZW 和 U2K。
此外,注释显示该组织还使用 URL 缩短服务重定向到 Freshdesk 票务网站。
展开https://yip.su/2QstD5会将您引导至Freshdesk 支持网站bit7.freshdesk.com 。
进一步调查显示,此链接 (bit7.freshdesk.com/support/tickets/)于 2019 年 12 月 27 日出现在Pastebin中,该链接被U2K 勒索软件(ADHUBLLKA勒索软件的 2022 年变体 )所使用。
ADHUBLLKA 勒索软件的新变种U2K使用 Freshdesk 票务工具与其受害者进行通信,确认 Freshdesk 票务工具在过去三年中一直处于活动状态,但已不再可用。
通过检查Antex7的配置文件,我们可以看到该配置文件中有 3 个粘贴,其中另外两个粘贴的 IP 地址列为192.3.157.96:3306,该地址与LimeRAT 关联。
当在另一个时间线(2022)再次加载短URL:yip.su/2QstD5时,出现以下消息:
这意味着威胁行为者正在通过电子邮件filessupport@cock.li与受害者保持直接通信,以防 TOR 站点出现故障或票务服务被取消。
还需要注意的是,该电子邮件地址在不同时间出现了多个勒索软件变体,这似乎证明自 2019 年以来威胁行为者一直是同一个人。
每个勒索软件项目中使用的 URL:
alcx6zctcmhmn3kx.onion: JOPE,DeathRansom
decrmbgpvh6kvmti.onion: DOCM
helpinfh6vj47ift.onion: DOCM
7rzpyw3hflwe2c7h.onion: ADHUBLLKA, Bit
54fjmcwsszltlixn.onion: Bit
24cduc2htewrcv37.onion: Bit
helpqvrg3cc5mvb3.onion: Bit
mmeeiix2ejdwkmseycljetmpiwebdvgjts75c63camjofn2cjdoulzqd.onion: MME, GlobeImposter XLS, Bit, Lolkek
mmcbkgua72og66w4jz3qcxkkhefax754pg6iknmtfujvkt2j65ffraad.onion: Lolkek
mrv44idagzu47oktcipn6tlll6nzapi6pk3u7ehsucl4hpxon45dl4yd.onion: Bit,
yip.su/2QstD5: MME, OBZ,为什么选择ADHUBLLKA?
选择 ADHUBLLKA 作为锚点是因为大量报告涵盖了同一电子邮件地址pr0t3eam@protonmail.com,该地址属于勒索软件组,并且在 2019 年发现了样本(MD5:77d0a95415ef989128805252cba93dc2),该样本仍然与 2023 年具有相关性变体。
此外,DeathRansom 的备注和联系电子邮件(其中包含“死亡”作为主要关键字)与 ADHUBLLKA 不同。尽管事实上它在场景中加密文件后使用 ADHUBLLKA 作为扩展名。然而,PCRisk证实,ADHUBLLKA 勒索软件背后的组织已经更新了其版本,其中存在 TOR 支持,并且“ .readme ”扩展名被添加到加密文件中,而不是 ADHUBLLKA。还值得注意的是,Lolkek 样本使用“.readme”扩展名加密文件。因此,我们可以将它们归类为 ADHUBLLKA 变体。
注意:它可以被视为 LOLKEK 勒索软件,但由于它出现在 ADHUBLLKA 之后(比较时间线),因此可以追溯到 ADHUBLLKA 系列。
在另一个例子中,较旧的洋葱地址alcx6zctcmhmn3kx.onion与DeathRansom关联,后者间接链接到ADHUBLLKA勒索软件。此哈希值860b89a4138f744adbe41cee1de0848f于2019 年 5 月被识别并归类为ADHUBLLKA。
与 GlobeImposter 的混淆
上述勒索软件样本或其他相关样本也被标记为2016年出现的GlobeImposter勒索软件。在各种沙箱引擎中,由于代码重用匹配参数,它仍然被归类为GlobeImposter 。
在这里,我们不能将其归类为 GlobeImposter,因为其感染链和赎金协商方法与当前活跃场景不同。
就 GlobeImposter 而言,使用了大量加密文件扩展名(而不是使用单一扩展名),并且威胁行为者使用的电子邮件/TOR 域与当前的任何勒索软件活动均不重叠。
即使他们通过改变工具集或临时改进暗网通信方法来改变作案手法,我们仍然可以将其视为 ADHUBLLKA(DeathRansom)家族的一部分,因为相同的(观察到的策略)正在进行中并且尚未实现自2019年起结束。
关键点
1.这种勒索软件针对个人和小型企业,要求每个客户支付 800 至 1600 美元的赎金。这从之前的变体中可以明显看出。
2.ADHUBLLKA 也出现在各种其他网络攻击活动中。受欢迎的威胁组织TA547在 2020 年针对澳大利亚各个地区的活动中使用了 ADHUBLLKA 变种。
3.ADHUBLLKA 勒索软件变体的所有恶意文件通常都以其 MD5 或 SHA256 哈希名称命名,例如“ MD5.vir ”或“ SHA256.bin ”。
4.受感染的文件名(䶲䶮䶴䷣䷭䷢䷡䷠䶳䷠䷟䷞䷆䷩䷢.exe )为普通话。
5.TZW是 ADHUBLLKA 勒索软件家族中(截至目前)出现的最后一个变体。它还使用相同的门户进行受害者通信。
6.我们可以看到,在版本 3 洋葱 URL 发布之前,该勒索软件在暗网上活跃了很长一段时间,因为版本 2 URL 也被用于早期的感染中。
7.目前,该勒索软件家族尚未在暗网上宣布任何 DLS(数据泄露站点),但一旦它站稳脚跟;他们的 DLS 预计将在不久的将来推出。
结论:尽管时间线和名称不同,但所有变体都属于ADHUBLLKA勒索软件家族
该勒索软件自 2019 年以来一直高度活跃,并观察到一些变化,特别是 v3 TOR 域名和其他参数。
同一件作品还被分配了各种其他名称,例如ReadMe、MMM、MME、GlobeImposter2.0,它们都属于ADHUBLLKA 勒索软件家族。
未来,该勒索软件可能会更名为其他名称;或其他组织可能会使用它来发起自己的勒索软件活动。然而,只要威胁行为者不改变他们的通信方式,我们就能够将所有此类案件追溯到ADHUBLLKA家族。
IOC
MD5 哈希值
77d0a95415ef989128805252cba93dc2
e3f6878bcafe2463f6028956f44a6e74
2f121145ea11b36f9ade0cb8f319e40a
291bea114eb566d39f69d8c2af059548
e4e439fc5ade188ba2c69367ba6731b6
0f77484639b1193ad66e313040c92571
121f5beface8337c7105cc6a257a87ed
341c316be98f624f7321d198c5345bc9
1f640e3f37ec3b93c958c5910eb6a3e7
860b89a4138f744adbe41cee1de0848f
5990a32cddde5978959321237f9b0ee1
22dce5b7daed8cfb14aa9e8e7eed1d2f
43c89b8dc5f9cac3d143238ba74c9002
8ba537f8d00a73d6cc1cc5dffa566ed1
2c72015e22b53c215403979536bce826
e58b77e4de54b09be77c852436a904b6
fc9ca0a85e47088d25483dd47fba3244
d0c67160c740f62c25b0558e9563a824
5355cce5601f471579f6154708d87fd7
518a38b47292b1e809c5e6f0bb1858be
3e7591082b36244767c1b5393a44f846
71852d35ddc0e13d2d830fcf6d185171
ab8f0580cc0d74e0215e7de19515c8a6
55044ed5d04a20844fcedb17a3f5bb31
842d42bb052a77759c8f55d46021b2e0
1a7ddd5e16d0fc9c3969d1c63e5c6cda
a735ff10e359539181c1eca593091ee6
6953d6e1a2d8df8e0d2e76263e8b3115
29250c34e78857b17ee2576f68757d01
13d8c2f2cdf5f6208c3e999621019304
21dd14135e2dc4b22591ab35cf98b115
09d5701f1f4a6d50f9833fc78d3f2371
d14aab030b254bae3c6977c71cbc8a0b
a15419df02ffae775b6231dd77fd9c6f
ae3353674bf514175deda25b96496a83
de9d7afe742c551522bafb785c706f4f
0e5bd98bcf1ef9bef39f19f41e1aabfb
0148dc4f8a43b7fa1c31578f1a3c13bf
34b2b644c22861346ed07b4c7eeea7fb
da07dd4894c10fe94eba4f32ae4a57e6
IP地址:
194.85.61.76
109.70.26.37
8.209.75.209
47.91.93.231
47.75.127.193
5.101.49.142
91.239.235.200
20.80.129.13
23.35.69.10
23.35.69.32
23.35.69.35
23.35.69.42
23.35.69.48
23.35.69.66
162.0.235.197
13.107.4.50
162.159.129.233
162.159.130.233
162.159.133.233
162.159.134.233
162.159.135.233
20.99.184.37
192.229.211.108
104.18.14.101
23.216.147.61
23.216.147.64
13.107.4.52
20.190.160.17
20.190.160.20
20.190.160.22
20.99.132.105
40.126.32.133
162.159.130.233
162.159.133.233
162.159.134.233
162.159.135.233
20.99.184.37
192.229.211.108
104.18.14.101
23.216.147.61
23.216.147.64
13.107.4.52
20.190.160.17
20.190.160.20
20.190.160.22
20.99.132.105
40.126.32.133
162.159.130.233
162.159.133.233
162.159.134.233
162.159.135.233
20.99.184.37
192.229.211.108
104.18.14.101
23.216.147.61
23.216.147.64
13.107.4.52
20.190.160.17
20.190.160.20
20.190.160.22
20.99.132.105
40.126.32.133
联系邮箱:
Pr0team@protonmail.com
filessupport@onionmail.org
filessupport@cock.li
rick5@xmpp.jp:Jabber转载来源:https://netenrich.com/blog/discovering-the-adhubllka-ransomware-family#
图片来源网络侵权可联系删除
