新疆都市报 > 科技 > 智能 >

AvosLocker勒索软件即将推出的变体

发布时间:2022-03-17 21:43来源: 未知

  历史上,攻击者或AvosLocker勒索软件组的附属公司正在使用proxyshell来利用Microsoft Exchange Server漏洞,损害受害者的网络,例如CVE-2021-34473,CVE-2021-31206,CVE-2021-34523和CVE-2021-31207。 一旦攻击者访问计算机,他们就会部署mimikatz来转储密码。攻击者可以使用标识的密码获取对域控制器的RDp访问权限,从而从受感染的计算机中泄露数据。最后,攻击者将AvosLocker勒索软件部署在受害者系统上,以加密受害者的文档和文件,而新的针对Linux平台变种则有不同的行为。

  技术分析

  基于对新变种的静态分析,我们发现恶意文件是基于x64的可执行的ELF文件,如图1所示。

  在Linux计算机上执行AvosLocker勒索软件时,它会指示用户运行一个命令,该命令具有指定要加密的目录路径的参数。此外,该命令还有另一个参数,该参数表示加密过程中要涉及的线程数。内置的多线程处理功能可帮助攻击者更快地加密文件,如图2所示。

  执行后,AvosLocker会检查是否存在VMware Elastic Sky X Integrated(ESXi)、虚拟机文件系统(VMFS),并使用下图中给出的命令杀死正在运行的虚拟机(VM)。

  下图显示恶意软件将扩展名。avoslinux附加在加密受害者计算机上的文件名后。

  在加密文件之前,恶意软件使用互斥锁/解锁ApI执行线程同步操作,以避免加密过程冲突,如图5所示。

  加密文件的内容在文件末尾具有编码的内容。如下图所示,目前有理由怀疑编码的数据包含用于加密文件的加密密钥。

  在开始加密过程之前,恶意软件会在特定驱动器中删除名称为README_FOR_RESTORE.txt的赎金记录,然后,像其他勒索软件组一样,攻击者指示受害者访问TOR网站,如下图所示:

  当受害者访问AvosLocker的TOR网站时,它会要求赎金票据上给出的ID以继续进行付款过程,如下图所示:

  一旦受害者输入ID,网站将重定向到付款页面,攻击者指示受害者支付1000000.00美元或4629.63门罗币或28.61比特币,如果受害者不在截止日期前支付赎金,赎金金额将翻倍。

  对于通过门罗币付款,攻击者提供了门罗币ID和付款ID,如图9所示:

  其它

  当受害者未能支付赎金时,攻击者会在其泄密网站上泄露了受害者的详细信息。下图显示了Avoslocker泄漏网站与最近的受害者:

  此外,泄漏网站指出,攻击者提到了一个提供勒索软件即服务(RaaS)的联盟计划,其中包括了联盟面板,呼叫服务等,如下图所示:

  勒索软件组织正在寻求支持,以在美国、加拿大、英国和澳大利亚等国家/地区扩展其网络犯罪勒索软件业务,如下图所示:

  结论

  通过分析,Linux平台可能有新版本的AvosLocker勒索软件,在最新版本中,网络犯罪分子添加了一个独特的代码,以使用新的策略来发展其Raas服务(勒索即服务),借此针对ESXi和VMFS机器。因此,可以认为,AvosLocker勒索软件即将推出的变体可能会以增强形式出现。