LockBit 2.0 之后,被称为LockFile的勒索软体的运营商是已被发现利用最近披露的缺陷(例如ProxyShell和PetitPotam)来破坏 Windows 伺服器并部署档加密恶意软体。LockFile利用一种称为“间歇性加密”的新技术来绕过勒索软体保护。该恶意软体仅对档的每隔 16 个位元组进行加扰,从而使其能够逃避勒索软体防御。
“勒索软体运营商通常使用部分加密来加快加密过程,我们已经看到 BlackMatter、DarkSide 和 LockBit 2.0 勒索软体实现了它,”Sophos 工程总监 Mark Loman 在一份声明中说。“LockFile 的不同之处在于,与其他的不同,它不加密前几个块。相反,LockFile 每隔 16 个位元组就加密一个文档。”
“这意味著诸如文本文档之类的档仍然部分可读,并且在统计上看起来像原始档。这个技巧可以成功对抗依赖于使用统计分析检查内容来检测加密的勒索软体保护软体,”Loman 补充道。
Sophos 对 LockFile 的分析来自于2021 年 8 月 22 日上传到 VirusTotal 的一个工件。
一旦存放,恶意软体还会采取措施通过 Windows 管理介面 (WMI) 终止与虚拟化软体和资料库相关的关键进程,然后继续加密关键档和物件,并显示与 LockBit 2.0 风格相似的勒索软体注释。
赎金说明还敦促受害者联系特定的电子邮寄地址“[email protected]”,Sophos 怀疑这可能是对一个名为 Conti 的竞争性勒索软体组织的贬义。
更重要的是,勒索软体会在成功加密机器上的所有文档后将自身从系统中删除,这意味著“没有勒索软体二进位档案可供事件回应者或防毒软体查找或清理。”
此外,美国联邦调查局 (FBI) 发布了一份Flash 报告,详细介绍了一种名为 Hive 的新型勒索软体即服务 (RaaS) 装备的策略,该装备由许多使用多种机制的参与者组成。
网路威胁格局永远不会停滞不前,破坏商业网络,窃取资料并加密网路上的资料,并试图收集赎金以换取对解密软体的访问,对手将迅速抓住每一个可能的机会或工具来发动成功的攻击,提前做好网路攻击防御,保护好商业机密。