概括
注意:此联合网络安全咨询 (CSA) 是 #StopRansomware 持续努力的一部分,旨在为网络防御者发布咨询,详细介绍各种勒索软件变体和勒索软件威胁行为者。这些#StopRansomware 公告包括最近和历史上观察到的策略、技术和程序 (TTP) 以及妥协指标 (IOC),以帮助组织防范勒索软件。请访问 stopransomware.gov 查看所有 #StopRansomware 公告并了解有关其他勒索软件威胁和免费资源的更多信息。
联邦调查局 (FBI) 和网络安全与基础设施安全局 (CISA) 正在发布此联合 CSA,以传播与 FBI 调查截至 2023 年 6 月 1 日发现的 Snatch 勒索软件变体相关的已知勒索软件 IOC 和 TTP。
自 2021 年中期以来,Snatch 威胁行为者不断改进其策略,以利用网络犯罪领域的当前趋势,并利用其他勒索软件变体操作的成功经验。Snatch 威胁行为者瞄准了广泛的关键基础设施部门,包括国防工业基地 (DIB)、粮食和农业以及信息技术部门。Snatch 威胁行为者实施涉及数据泄露和双重勒索的勒索软件操作。数据泄露通常涉及与受害者直接沟通索要赎金后,Snatch 威胁行为者可能会通过双重勒索来威胁受害者,如果不支付赎金,受害者的数据将发布在 Snatch 的勒索博客上。
技术细节
Snatch 于 2018 年首次出现,采用勒索软件即服务 (RaaS) 模式,并于 2019 年在美国发现了第一个受害者。最初,该组织被称为 Team Truniger,基于组织关键成员的昵称,Truniger,曾作为 GandCrab 附属公司运营。Snatch 威胁行为者使用定制的勒索软件变体,特别是将设备重新启动到安全模式 [ T1562.009 ],使勒索软件能够绕过防病毒或端点保护的检测,然后在很少有服务运行时加密文件。
据观察,Snatch 威胁行为者从其他勒索软件变种购买了之前被盗的数据,试图进一步利用受害者支付赎金,以避免他们的数据在 Snatch 的勒索博客上发布。笔记:自 2021 年 11 月以来,一个以 Snatch 名义运营的勒索网站充当了从受害公司窃取或窃取的数据的清算所,这些数据通过由防弹托管服务托管的 Clearnet 和 TOR 托管。2023 年 8 月,自称与该博客相关的个人接受媒体采访,声称该博客与 Snatch 勒索软件无关,并且“我们的目标都没有受到勒索软件 Snatch 的攻击……”,尽管多个已确认的 Snatch 受害者数据出现在博客上与其他勒索软件组织(特别是 Nokoyawa 和 Conti)相关的受害者一起发表博客。
初始访问和持久性
Snatch 威胁行为者采用多种不同的方法来访问受害者的网络并维持其持久性。Snatch 附属机构主要依靠利用远程桌面协议 (RDP) [ T1133 ] 中的弱点进行暴力破解并获取受害者网络的管理员凭据 [ T1110.001 ]。在某些情况下,Snatch 附属机构会从犯罪论坛/市场寻找被盗的凭证 [ T1078 ]。
Snatch 威胁行为者通过危害管理员帐户 [ T1078.002 ]并通过端口443
[ T1071.001 ] 与位于俄罗斯防弹托管服务 [T1583.003] 上的命令和控制 (C2) 服务器建立连接,在受害者网络上获得持久性。根据最近受害者提供的事件日志中的 IP 流量,Snatch 威胁参与者从俄罗斯防弹托管服务并通过其他虚拟专用网络 (VPN) 服务发起 RDP 连接 [T1133 ]。
数据发现和横向移动
据观察,Snatch 威胁行为者使用不同的 TTP 来发现数据、横向移动以及搜索要泄露的数据。Snatch 威胁参与者使用sc.exe
Windows 命令行来配置、查询、停止、启动、删除和添加系统服务。除此之外,Snatch 威胁攻击者还使用 Metasploit 和 Cobalt Strike [ S0154sc.exe
]等工具。
在部署勒索软件之前,Snatch 威胁行为者被发现在受害者的系统上花费了长达三个月的时间。在此时间范围内,Snatch 威胁行为者利用受害者的网络 [ T1590 ],通过 RDP [ T1021.001 ]在受害者的网络中横向移动,以实现最大可能的勒索软件部署,并搜索文件和文件夹 [ T1005 ] 进行数据泄露 [ TA0010 ]其次是文件加密[ T1486 ]。
防御规避和执行
在勒索软件部署的早期阶段,Snatch 威胁参与者会尝试禁用防病毒软件 [ T1562.001safe.exe
] 并以指定文件或其某些变体的形式运行可执行文件。在最近的受害者中,勒索软件可执行文件的名称由一串十六进制字符组成,这些字符与SHA-256
文件的哈希值相匹配,以试图击败基于规则的检测[ T1036 ]。启动后,Snatch 勒索软件负载会查询并修改注册表项 [ T1012 ][ T1112 ],使用各种本机 Windows 工具枚举系统 [ T1569.002 ],查找进程 [ T1057 ],并创建良性进程来执行 Windows 批处理 ( .bat
)文件[T1059.003 ]。在某些情况下,程序会尝试从系统中删除所有卷影副本 [ T1490 ]。执行批处理文件后,可执行文件从受害者的文件系统中删除批处理文件[ T1070.004 ]。
Snatch 勒索软件可执行文件将一系列十六进制字符附加到它加密的每个文件和文件夹名称中(对于每个感染都是唯一的),并留下一个名为HOW TO RESTORE YOUR FILES.TXT
在每个文件夹中。Snatch 威胁行为者通过电子邮件和基于勒索票据中留下的标识符的 Tox 通信平台或通过勒索博客与受害者进行通信。自 2021 年 11 月以来,一些受害者报告称收到了一名身份不明的女性打来的欺骗电话,该女性声称与 Snatch 有关联,并将他们引导至该组织的勒索网站。在某些情况下,Snatch 受害者的系统上部署了不同的勒索软件变体,但收到了来自 Snatch 威胁参与者的勒索信息。因此,受害者的数据会发布在涉及不同勒索软件变体的勒索软件博客上以及 Snatch 威胁参与者的勒索博客上。
妥协指标 (IOC)
观察到的 Snatch 威胁参与者使用的恶意电子邮件域
sezname[.]cz
cock[.]li
airmail[.]cc
观察到的 Snatch 威胁行为者使用的合法电子邮件域
tutanota[.]com / tutamail[.]com / tuta[.]io
mail[.]fr
keemail[.]me
protonmail[.]com / proton[.]me
swisscows[.]email
近期受害者报告的 Snatch 电子邮件地址
sn.tchnews.top@protonmail[.]me
funny385@swisscows[.]email
funny385@proton[.]me
russellrspeck@seznam[.]cz
russellrspeck@protonmail[.]com
Mailz13MoraleS@proton[.]me
datasto100@tutanota[.]com
snatch.vip@protonmail[.]com
TOX 消息 ID
CAB3D74D1DADE95B52928E4D9DFC003FF5ADB2E082F59377D049A91952E8BB3B419DB2FA9D3F
7229828E766B9058D329B2B4BC0EDDD11612CBCCFA4811532CABC76ACF703074E0D1501F8418
83E6E3CFEC0E4C8E7F7B6E01F6E86CF70AE8D4E75A59126A2C52FE9F568B4072CA78EF2B3C97
0FF26770BFAEAD95194506E6970CC1C395B04159038D785DE316F05CE6DE67324C6038727A58
文件夹创建
C:\$SysReset
具有关联 SHA-256 哈希值的文件名
文件名 SHA-256
qesbdksdvnotrjnexutx.bat 0965cb8ee38adedd9ba06bdad9220a35890c2df0e4c78d0559cd6da653bf740f
eqbglqcngblqnl.bat 1fbdb97893d09d59575c3ef95df3c929fe6b6ddf1b273283e4efadf94cdc802d
safe.exe 5950b4e27554585123d7fca44e83169375c6001201e3bf26e57d079437e70bcd
safe.exe 7018240d67fd11847c7f9737eaaae45794b37a5c27ffd02beaacaf6ae13352b3
safe.exe 28e82f28d0b9eb6a53d22983e21a9505ada925ebb61382fabebd76b8c4acff7c
safe.exe fc31043b5f079ce88385883668eeebba76a62f77954a960fb03bf46f47dbb066
DefenderControl.exe a201f7f81277e28c0bdd680427b979aee70e42e8a98c67f11e7c83d02f8fe7ae
PRETTYOCEANApplicationdrs.bi 6992aaad3c47b938309fc1e6f37179eb51f028536f8afc02e4986312e29220c0
Setup.exe 510e9fa38a08d446189c34fe6125295f410b36f00aceb65e7b4508e9d7c4e1d1
WRSA.exe ed0fd61bf82660a69f5bfe0e66457cfe56d66dd2b310e9e97657c37779aef65d
ghnhfglwaplf.bat 2155a029a024a2ffa4eff9108ac15c7db527ca1c8f89ccfd94cc3a70b77cfc57
nllraq.bat 251427c578eaa814f07037fbe6e388b3bc86ed3800d7887c9d24e7b94176e30d
ygariiwfenmqteiwcr.bat 3295f5029f9c9549a584fa13bc6c25520b4ff9a4b2feb1d9e935cc9e4e0f0924
bsfyqgqeauegwyfvtp.bat 6c9d8c577dddf9cc480f330617e263a6ee4461651b4dec1f7215bda77df911e7
rgibdcghzwpk.bat 84e1476c6b21531de62bbac67e52ab2ac14aa7a30f504ecf33e6b62aa33d1fe5
pxyicmajjlqrtgcnhi.bat a80c7fe1f88cf24ad4c55910a9f2189f1eedad25d7d0fd53dbfe6bdd68912a84
evhgpp.bat b998a8c15cc19c8c31c89b30f692a40b14d7a6c09233eb976c07f19a84eccb40
eqbglqcngblqnl.bat 1fbdb97893d09d59575c3ef95df3c929fe6b6ddf1b273283e4efadf94cdc802d
qesbdksdvnotrjnexutx.bat 0965cb8ee38adedd9ba06bdad9220a35890c2df0e4c78d0559cd6da653bf740f
HOW TO RESTORE YOUR FILES.TXT
具有关联 SHA-1 哈希值的文件名
文件名 SHA-1
safe.exe c8a0060290715f266c89a21480fed08133ea2614
Snatch 威胁参与者使用的命令
wmiadap.exe /F /T /R
%windir%\System32\svchost.eve –k WerSvcGroup
conhost.exe 0xFFFFFFFF -ForceV1
vssadmin delete shadows /all /quiet
bcdedit.exe /set {current} safeboot minimal
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\VSS /VE /T REG_SZ /F /D Service
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mXoRpcSsx /VE /T REG_SZ /F /D Service
REG QUERY HKLM\SYSTEM\CurrentControlSet\Control /v SystemStartOptions
%CONHOST% "1088015358-1778111623-1306428145949291561678876491840500802412316031-33820320
"C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --flag-switches-begin --flag-switches-end --no-startup-window /prefetch:5
cmd /d /c cmd /d /c cmd /d /c start " " C:\Users\grade1\AppData\Local\PRETTYOCEANluvApplication\PRETTYOCEANApplicationidf.bi.
转载来源:https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-263a
图片来源网络侵权可联系删除