安全動態(tài)

突發(fā)!一知名勒索軟件源代碼泄露,目前尚無法解密

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2021-06-17    瀏覽次數(shù):
 

信息來源:安全內(nèi)參

Paradise勒索軟件的源代碼在多個黑客論壇上外泄,成為第二個源代碼遭到泄露的主流勒索軟件。

  • Paradise勒索軟件的源代碼在多個黑客論壇上外泄,成為第二個源代碼遭到泄露的主流勒索軟件;

  • 目前尚無法解密Paradise加密的數(shù)據(jù),加上源代碼在網(wǎng)上快速傳播,或?qū)⒁疠^大的風(fēng)波。

安全廠商Security Joes高級威脅情報分析師Tom Malka透露,Paradise勒索軟件的.NET版本源代碼已經(jīng)于上周末在多個黑客論壇上外泄。

這批代碼已經(jīng)在俄語論壇XSS上被公開放出,也成為繼2020年初Dharma之后第二個源代碼遭到泄露的主流勒索軟件。

此次泄露事件的真實性,得到了曾多次分析以往Paradise勒索攻擊活動的惡意軟件分析師Bart Blaze與MalwareHunterTeam的驗證與確認(rèn)。

Paradise勒索軟件活動簡史

Paradise勒索軟件最早被發(fā)現(xiàn)于2017年9月,主打經(jīng)典的勒索軟件即服務(wù)(RaaS)模式,向網(wǎng)絡(luò)犯罪團伙在線公開租賃。

攻擊者在注冊Paradise RaaS之后,即會收到一款名為builder的專用應(yīng)用,可以借此構(gòu)建起屬于自己的Paradise勒索軟件自定義版本。接下來,他們即可通過垃圾郵件或者其他方法將這套版本傳播給受害者。

雖然近年以來,我們已經(jīng)習(xí)慣于勒索軟件團伙“定向追殺”知名企業(yè)、索要大額贖金的情況,但Paradise勒索軟件仍然堅持將矛頭指向家庭消費者與小型公司。

正是由于這種“從小處入手”的特性,讓Paradise RaaS成為不少犯罪團伙進軍勒索攻擊的切入點。他們先是嘗試騷擾終端消費者與小型公司,之后才轉(zhuǎn)向其他足以令大企業(yè)淪陷的專業(yè)級攻擊工具。

Paradise RaaS已經(jīng)運行多年且不斷發(fā)布新的版本,其中就包括前文提到的.NET版本。2019年與2020年曾出現(xiàn)數(shù)起使用此版本的攻擊案例。

RaaS業(yè)務(wù)在2019年10月終于面臨誕生以來的首次重?fù)簦?dāng)時安全廠商Emsisoft發(fā)布了一款免費的解密工具程序,可供受害者解密由Paradise加密的文件。解密工具一出,勒索活動自然是無功而返。

Paradise團伙隨后以發(fā)布了新的版本,但安全公司Bitdefender幾個月后(2020年1月)又發(fā)布了第二款解密器。

自此之后,RaaS似乎一蹶不振,安全研究人員每周發(fā)現(xiàn)的相關(guān)攻擊也越來越少。

2020年3月,Paradise團伙的某附屬小組再次利用新型垃圾郵件通過IQY文件傳播了勒索軟件,但這也算是其最后的掙扎到了。之后一段時間,Paradise逐漸銷聲匿跡,最后一次公開樣本出現(xiàn)在2021年1月。

安全廠商SonicWall還報告發(fā)現(xiàn)了一款名為Cukiesi的新型勒索軟件版本,最終得出結(jié)論稱它屬于原Paradise的一個分支,但這種新變體也未能存活多久。

如今,Paradise勒索軟件的原生版本每周仍在實施少量攻擊。根據(jù)MalwareHunterTeam的統(tǒng)計,ID-Ransomware服務(wù)在過去30天之內(nèi)僅收到兩次提交,表明Paradise項目已經(jīng)被放棄或者原生版本已經(jīng)極少被使用(與.NET等替代版本相比,原生編碼的勒索軟件加密速度更快)。

Paradise勒索軟件的builder泄露

Malka與Blaze在采訪中強調(diào),上周末泄露的Paradise代碼正是其.NET版本源代碼,更準(zhǔn)確地說是其builder與解密工具程序的源代碼。

盡管只是使用頻率較低的.NET版本,Paradise勒索軟件builder的外泄仍然值得我們給予關(guān)注。

Blaze分析師今天嘗試構(gòu)建了一各Paradise勒索軟件樣本,并在上傳至ID-Ransomware服務(wù)進行驗證,但被歸類為無法解密。

這種無法解密的特性,加上公開的源代碼在互聯(lián)網(wǎng)上快速傳播,我們不排除會有部分惡意人士抓住機會開展Paradise攻擊。雖然不像Paradise RaaS原生版本那么精準(zhǔn)高效,但相信這套.NET版本也足夠引起不小的麻煩。

參考來源:therecord.media

 
 

上一篇:美國FBI探員承認(rèn)誣陷華裔教授是間諜,調(diào)查3年多指控并無實據(jù)

下一篇:2021年6月17日聚銘安全速遞