LostTrust 勒索软件操作是 2023 年 9 月出现的一种新的多重勒索威胁。我们对 LostTrust 恶意软件有效负载的分析表明,该家族是SFile和Mindware的演变,并且这三个勒索软件都遵循与 MetaEncryptor 类似的操作和交易技术。LostTrust 泄漏网站和早期 MetaEncryptor 泄漏网站之间的相似性也很明显,而之前在 MetaEncryptor 活动中观察到的 SFile 加密器的某些方面仍在我们分析的 LostTrust 有效负载中使用。
在此分析中,我们提供了这些勒索软件系列及其操作重叠之处的高级技术概述。我们将检查 LostTrust 有效负载行为,并将工件与 SFile 和 Mindware 系列进行比较。
LostTrust 勒索赎金
LostTrust 受害者会收到一张勒索信,其中试图将该团伙描述为提供服务,这是实施入侵的网络犯罪分子通常采用的虚假外表。LostTrust 勒索信的摘录说明了这种方法:
我们的团队在法律和所谓的白帽黑客方面拥有广泛的背景。然而,客户通常认为发现的漏洞很小,而且我们的服务报酬很低。所以我们决定改变我们的商业模式。现在您了解了为 IT 安全分配良好预算的重要性。这对我们来说是一件严肃的事情,我们真的不想破坏您的隐私、声誉和公司。我们只是想在发现各种网络中的漏洞的同时获得工作报酬。
LostTrust 勒索信
LostTrust 泄密网站包含的信息声称该团伙是“自称为网络安全领域专家的年轻人”。几乎不加掩饰的威胁是,如果该团伙没有收到付款,被盗数据将提供给相关方,随后会发出警告,称将广泛公布受害者违规行为的通知。
LostTrust 执行详细信息
为了防止受害设备上的现有进程抑制加密或数据泄露,LostTrust 勒索软件有效负载尝试发现并终止大量服务和进程。如果发现与 Microsoft Exchange、MSSQL、SharePoint、Tomcat、postgresql 等进程相关的关键服务,则将终止。
勒索软件会启动大量隐藏的 CMD.EXE 会话来执行这些任务。隐藏的 CMD.EXE 窗口随后托管观察到的 WMIC、NET、SC、taskkill、VSSADMIN 和 wevtutil 命令。
除了发现和终止进程之外,勒索软件还尝试通过 VSSADMIN 删除 VSS(卷影副本),并通过 wevtutil.exe 清除所有 Windows 事件日志。
LostTrust 有效负载执行输出会传输到可见的命令窗口,从而可以清楚地观察各个加密阶段。
失去信任输出
观察到的命令的完整列表如下:
"C:WindowsSystem32cmd.exe" /c wevtutil cl Application
"C:WindowsSystem32cmd.exe" /c wevtutil cl security
"C:WindowsSystem32cmd.exe" /c wevtutil cl setup
"C:WindowsSystem32cmd.exe" /c wevtutil cl system
"C:WindowsSystem32cmd.exe" /c vssadmin.exe delete shadows /all /quiet
"C:WindowsSystem32cmd.exe" /c WMIC SERVICE WHERE "caption LIKE '%Firebird%'" CALL STOPSERVICE
"C:WindowsSystem32cmd.exe" /c WMIC SERVICE WHERE "caption LIKE '%MSSQL%'" CALL STOPSERVICE
"C:WindowsSystem32cmd.exe" /c WMIC SERVICE WHERE "caption LIKE '%SQL%'" CALL STOPSERVIC
"C:WindowsSystem32cmd.exe" /c WMIC SERVICE WHERE "caption LIKE '%Exchange%'" CALL STOPSERVICE
"C:WindowsSystem32cmd.exe" /c WMIC SERVICE WHERE "caption LIKE '%wsbex%'" CALL STOPSERVICE
"C:WindowsSystem32cmd.exe" /c WMIC SERVICE WHERE "caption LIKE '%postgresql%'" CALL STOPSERVICE
"C:WindowsSystem32cmd.exe" /c WMIC SERVICE WHERE "caption LIKE '%BACKP%'" CALL STOPSERVICE
"C:WindowsSystem32cmd.exe" /c WMIC SERVICE WHERE "caption LIKE '%tomcat%'" CALL STOPSERVICE
"C:WindowsSystem32cmd.exe" /c WMIC SERVICE WHERE "caption LIKE '%SharePoint%'" CALL STOPSERVICE
"C:WindowsSystem32cmd.exe" /c WMIC SERVICE WHERE "caption LIKE '%SBS%'" CALL STOPSERVICE
"C:WindowsSystem32cmd.exe" /c WMIC SERVICE WHERE "caption LIKE '%Firebird%'" CALL ChangeStartMode 'Disabled'
"C:WindowsSystem32cmd.exe" /c WMIC SERVICE WHERE "caption LIKE '%MSSQL%'" CALL ChangeStartMode 'Disabled'
"C:WindowsSystem32cmd.exe" /c WMIC SERVICE WHERE "caption LIKE '%SQL%'" CALL ChangeStartMode 'Disabled'
"C:WindowsSystem32cmd.exe" /c WMIC SERVICE WHERE "caption LIKE '%Exchange%'" CALL ChangeStartMode 'Disabled'
"C:WindowsSystem32cmd.exe" /c WMIC SERVICE WHERE "caption LIKE '%wsbex%'" CALL ChangeStartMode 'Disabled'
"C:WindowsSystem32cmd.exe" /c WMIC SERVICE WHERE "caption LIKE '%postgresql%'" CALL ChangeStartMode 'Disabled'
"C:WindowsSystem32cmd.exe" /c WMIC SERVICE WHERE "caption LIKE '%BACKP%'" CALL ChangeStartMode 'Disabled'
"C:WindowsSystem32cmd.exe" /c WMIC SERVICE WHERE "caption LIKE '%tomcat%'" CALL ChangeStartMode 'Disabled'
"C:WindowsSystem32cmd.exe" /c WMIC SERVICE WHERE "caption LIKE '%SharePoint%'" CALL ChangeStartMode 'Disabled'
"C:WindowsSystem32cmd.exe" /c WMIC SERVICE WHERE "caption LIKE '%SBS%'" CALL ChangeStartMode 'Disabled'
"C:WindowsSystem32cmd.exe" /c sc config FirebirdServerDefaultInstance start= disabled
"C:WindowsSystem32cmd.exe" /c taskkill /IM fb_inet_server.exe /F
"C:WindowsSystem32cmd.exe" /c net stop FirebirdServerDefaultInstance
"C:WindowsSystem32cmd.exe" /c C:Windowssystem32net1 stop FirebirdServerDefaultInstance
"C:WindowsSystem32cmd.exe" /c taskkill /IM sqlservr.exe /F
"C:WindowsSystem32cmd.exe" /c sc config MSSQLSERVER start= disabled
"C:WindowsSystem32cmd.exe" /c sc config MSSQL$SQLEXPRESS start= disabled
"C:WindowsSystem32cmd.exe" /c net stop MSSQLSERVER
"C:WindowsSystem32cmd.exe" /c C:Windowssystem32net1 stop MSSQLSERVER
"C:WindowsSystem32cmd.exe" /c net stop MSSQL$SQLEXPRESS
"C:WindowsSystem32cmd.exe" /c C:Windowssystem32net1 stop MSSQL$SQLEXPRESS
"C:WindowsSystem32cmd.exe" /c taskkill /IM pg_ctl.exe /F
"C:WindowsSystem32cmd.exe" /c sc config postgresql-9.0 start= disabled
"C:WindowsSystem32cmd.exe" /c net stop postgresql-9.0
"C:WindowsSystem32cmd.exe" /c sc config MSExchangeAB start= disabled
"C:WindowsSystem32cmd.exe" /c sc config MSExchangeAntispamUpdate start= disabled
"C:WindowsSystem32cmd.exe" /c sc config MSExchangeEdgeSync start= disabled
"C:WindowsSystem32cmd.exe" /c sc config MSExchangeFDS start= disabled
"C:WindowsSystem32cmd.exe" /c sc config MSExchangeFBA start= disabled
"C:WindowsSystem32cmd.exe" /c sc config MSExchangeImap4 start= disabled
"C:WindowsSystem32cmd.exe" /c sc config MSExchangeIS start= disabled
"C:WindowsSystem32cmd.exe" /c sc config MSExchangeMailSubmission start= disabled
"C:WindowsSystem32cmd.exe" /c sc config MSExchangeMailboxAssistants start= disabled
"C:WindowsSystem32cmd.exe" /c sc config MSExchangeMailboxReplication start= disabled
"C:WindowsSystem32cmd.exe" /c sc config MSExchangeMonitoring start= disabled
"C:WindowsSystem32cmd.exe" /c sc config MSExchangePop3 start= disabled
"C:WindowsSystem32cmd.exe" /c sc config MSExchangeProtectedServiceHost start= disabled
"C:WindowsSystem32cmd.exe" /c sc config MSExchangeRPC start= disabled
"C:WindowsSystem32cmd.exe" /c sc config MSExchangeSearch start= disable
"C:WindowsSystem32cmd.exe" /c sc config wsbexchange start= disabled
"C:WindowsSystem32cmd.exe" /c sc config MSExchangeSA start= disabled
"C:WindowsSystem32cmd.exe" /c sc config MSExchangeThrottling start= disabled
"C:WindowsSystem32cmd.exe" /c sc config MSExchangeTransportLogSearch start= disabled
"C:WindowsSystem32cmd.exe" /c net stop MSExchangeAB
"C:WindowsSystem32cmd.exe" /c net stop MSExchangeAntispamUpdate
"C:WindowsSystem32cmd.exe" /c net stop MSExchangeEdgeSync
"C:WindowsSystem32cmd.exe" /c net stop MSExchangeImap4
"C:WindowsSystem32cmd.exe" /c net stop MSExchangeMailboxReplication
"C:WindowsSystem32cmd.exe" /c net stop MSExchangeProtectedServiceHost支持的命令行参数
LostTrust 负载支持以下命令行参数:
LostTrust 中支持的命令行参数
该--enable-shares选项已在之前的Sfile/Mindware 示例中出现过。但值得注意的是,LostTrust 不包括以前见过的 SFile 或 Mindware 参数,例如--killsusp.
加密文件会使用“.losttrustencoded”文件扩展名进行修改,并且 LostTrust 勒索字条会写入包含加密项目的每个文件夹,格式为!!LostTrustEncoded.txt.
由 LostTrust 加密的文件
与 Mindware 和 SFile 的相似之处
我们之前报道过 Mindware 和 SFile 之间的联系,LostTrust 表明它是这一血统的延伸。LostTrust 有效负载与 MetaEncryptor 之前部署的有效负载一样,基于SFile加密器。因此,LostTrust 和 MetaEncryptor 的有效负载以类似的方式运行,并产生类似的工件。这包括加密过程中包含的扩展的重叠以及要排除的扩展。
LostTrust 通过模式/字符串处理排除(就像前辈一样)。观察到的 LostTrust 样本中排除模式的完整列表是:
Mindware 加密排除
LostTrust 加密排除
LostTrust 中的加密包含/排除看起来与其 Mindware 和 SFile 前身类似。
受害者博客网站
LostTrust 基于 TOR 的博客网站似乎是 MetaEncryptor 博客的直接翻版。格式和联系信息 (TOX) 全部匹配。虽然 LostTrust 和 MetaEncryptor 网站之间没有直接的受害者重叠,但 LostTrust 上列出的一些受害者之前曾在Royal、LockBit 3和Medusa等泄密网站上列出过。
MetaEncryptor 和 LostTrust 博客并行存在
截至撰写本文时,LostTrust 博客上列出了 53 名受害者,MetaEncryptor 博客上列出了 13 名受害者。这两个博客网站仍然活跃,而 MetaEncryptor 博客最近也进行了更新。
LostTrust、Mindware 和 SFile 勒索记录的比较
LostTrust
SFile 赎金记录(头)
LostTrust
SFile 勒索记录(尾)
相关 Mindware 和 LostTrust 恶意软件样本的勒索信息构造也类似。
Mindware 中的勒索字条构造
LostTrust 中的勒索字条构建
MetaEncryptor 字符串和工件
LostTrust 与 SFile 和 Mindware 一样,包含有关加密暂存的已知参考资料和功能。
LostTrust 推出时的 MetaEncryptor 参考
SFile 中的 MetaEncryptor 引用
对 MetaEncryptor 加密阶段的交叉引用也可以在 LostTrust 有效负载二进制文件中查看。
对 MetaEncryptor (LostTrust) 的内部引用
调试路径和字符串工件
在从 SFile 到 LostTrust 的整个时间线中,我们看到了有关所包含的调试路径和字符串工件的一些共性。
这些家庭的勒索信中提供的电子邮件地址也存在一些差异。例如:
文件
clark.rotband[@]mailfence[.]com
finbdodscokpd[@]privatemail[.]com
gnidhyg[@]protonmail[.]com
greemsy.jj[@]protonmail[.]ch
jj.greemsy[@]mailfence[.]com
johny1cashusa[@]protonmail[.]ch
johny2[@]mailfence[.]com
johny2recoveryusa[@]protonmail[.]com
johny3[@]mailfence[.]com
jorge.smith[@]mailfence[.]com
mally[@]mailfence[.]com
mallyrecovery[@]protonmail[.]ch
mandysales[@]mailfence[.]com
primethetime[@]protonmail[.]com
recoverfiles[@]ctemplar[.]com
recoverfilesquickly[@]ctemplar[.]com
salesmandy[@]protonmail[.]com Mindware
cacaoocacaooohusl[@]onionmail[.]org
corpovigiligiurati[@]onionmail[.]org
corpovigiligiuratiii[@]mailfence[.]com
lifespire[@]mailfence[.]com
lifespire[@]onionmail[.]org
niss.brandon[@]mailfence[.]com
niss.brook[@]onionmail[.]org
pationatiforsa[@]mailfence[.]com元加密器
hamfrelors[@]proton[.]me
hermond.glass[@]mailfence[.]com结论
在此分析中,我们提供了这些勒索软件系列和操作重叠之处的技术概述。当 LostTrust 的博客于 2023 年 9 月出现时,鉴于 LostTrust 和 MetaEncryptor 网站之间的直接相似性,许多人感到惊讶。我们目前的观察和分析表明,“LostTrust”是 SFile 和 Mindware 的演变。
妥协指标
SFile
0f20e5ccdbbed4cc3668577286ca66039c410f95
14e4557ea8d69d289c2432066d860b60a6698548
28f73b38ace67b48e525d165e7a16f3b51cec0c0
5ffac9dff916d69cd66e91ec6228d8d92c5e6b37
665572b84702c4c77f59868c5fe4d0b621f2e62a
6960beedbf4c927b75747ba08fe4e2fa418d4d9b
8c507d26c2fec90707320ffb721ae626139bbf11
a67686b5ce1d970a7920b47097d20dee927f0a4d
bdb0c0282b303843e971fbcd6d2888d834da204cMindware
46ca0c5ad4911d125a245adb059dc0103f93019d
9bc1972a75bb88501d92901efc9970824e6ee3f5
ae974e5c37936ac8f25cfea0225850be61666874
e9b52a4934b4a7194bcbbe27ddc5b723113f11fe
f91d3c1c2b85727bd4d1b249cd93a30897c44caa元加密器
e04760f670fab000c5ff01da39d4f4994011e581LostTrust
09170b8fd03258b0deaa7b881c46180818b88381转载来源:https://phxtechsol.com/2023/10/06/losttrust-ransomware-latest-multi-extortion-threat-shares-traits-with-sfile-and-mindware/
图片来源网络侵权可联系删除
