Shade勒索软件“开疆扩土”,将目标转移俄罗斯之外

Change 勒索软件 2019年5月27日发布
Favorite收藏

导语:Shade勒索软件(又名为Troldesh)是一款历史悠久的勒索软件,于2014年底首次出现,攻击目标主要是针对Microsoft Windows系统的主机,利用恶意垃圾邮件(malspam)和漏洞利用工具包进行传播。

Shade勒索软件(又名为Troldesh)是一款历史悠久的勒索软件,于2014年底首次出现,攻击目标主要是针对Microsoft Windows系统的主机,利用恶意垃圾邮件(malspam)和漏洞利用工具包进行传播。最近一篇关于Shade的研究报告中指出,Shade背后的攻击者的侧重于俄语目标,因为载体往往是俄语电子邮件,但实际上Shade也有非常多的通过英语垃圾邮件进行传播的迹象。

我们回顾了Shade勒索软件的最近的攻击趋势,结果表明,Shade勒索软件的影响群体中,欧美国家占比非常高。事实上,受Shade勒索软件影响的前五个国家不是俄罗斯或前苏联国家,它们分别是是美国、日本、印度、泰国和加拿大,俄罗斯只排在第七,另外一个在前十名中找到的俄语国家是哈萨克斯坦(排名第十)。这些国家受到攻击的顶级行业分别是高科技、批发和教育。

自2016年以来变化很小

Shade勒索软件可执行文件(EXE)非常一致。我们自2016年以来分析的所有EXE样本都使用cryptsen7f043rr6.onion中的相同Tor地址作为解密器页面,感染期间出现的桌面背景也是相同的。

Shade感染是什么样的?

当Windows主机被Shade勒索软件感染时,桌面背景会通知用户已遭到感染,并且会显示10个文本文件,从README1.txt到README10.txt,如图1所示。

3.png

图1:感染了Shade勒索软件的Windows主机的桌面

十个README文件都包含相同的指令,如图2所示。

3.png

图2:最近Shade勒索软件感染后的勒索说明

自2016年6月起,所有加密文件的文件扩展名都为.crypted000007,如图3所示。

3.png

图3:Shade勒索软件感染的加密文件示例

通过垃圾邮件传播

基于恶意邮件的Shade Ransomware感染涉及一个JavaScript(.js)或其他基于脚本的文件,伪装成发票或账单。在某些情况下邮件内容中懈怠了上述文件的链接,还有一些情况是将脚本文件作为zip附件附加到电子邮件中。在2019年2月的俄语垃圾邮件行动中,附件的PDF文件中包含了下载这些文件链接。

在我们审查的所有情况中,都涉及.js或其他基于脚本的文件,如图4所示。这些基于脚本的文件指在检索Shade勒索软件的可执行文件。

4.png图4:基于垃圾邮件Shade感染的流程图

感染链中的可执行文件传递

基于垃圾邮件的Shade感染链有一个共同点,就是从受感染的服务器检索可执行文件。通过关注这个事件链中的可执行文件,我们可以确定Shade感染尝试的位置。

AutoFocus搜索参数

AutoFocus有一个Shade勒索软件标签,可识别与Shade相关的任何项目。我们搜索了在感染链中交付Shade的可执行文件,将搜索重点放在通过TCP端口80发送的打包可执行(PE)文件上。通过这些国家的Palo Alto Networks设备来确定Shade勒索软件发生的地理位置,时间区间为2019年第一季度。

最后我们在AutoFocus数据库中搜索的参数是:

· 日期在1月1日至3月31日之间

· Unit 42标签 – Shade勒索软件

· 文件类型是PE

· 文件URL有任何值,但不是未知的

· 源端口(文件来自的TCP端口)为80

· 设备国家/地区具有任何值(不是空白或未标识)

· 文件URL不包含字符串/malware/

· 文件URL不包含字符串malshare.com

· 文件URL不包含字符串paloaltonetworks

· 文件URL不包含字符串local

5.png

图5.:2019年第一季度Shade勒索软件可执行文件的AutoFocus查询

我们从2019年1月至3月的搜索结果显示,有307个Shade勒索软件样本,感染会话共计超过6,536次。每个会话表示托管Shade Ransomware可执行文件的URL的HTTP请求,许多URL在不同的会话中多次出现。发生次数最多的前十大国家的分别是:

· 美国 –  2,010届会议

· 日本 –  1,677届会议

· 印度 –  989届会议

· 泰国 –  723届会议

· 加拿大 –  712届会议

· 西班牙 –  505届会议

· 俄罗斯联邦 –  86届会议

· 法国 –  71届会议

· 英国 –  67届会议

· 哈萨克斯坦 –  21届会议

6.png

图6:我们自动对焦搜索结果显示在世界地图的前十大国家/地区

在我们的客户群中,Shade感染会话发生最多的国家是美国,而托管Shade可执行文件的URL中的绝大多数都来自俄罗斯或俄语国家以外的客户设备。

这一时期的感染前10名垂直行业是:

· 高科技:5,009次会议

· 批发和零售:72期

· 教育:720期

· 电信:311届会议

· 财务:51届会议

· 运输和物流:24次会议

· 制造业:32期

· 专业和法律服务:8次会议

· 公用事业和能源:4次会议

· 州和地方政府:1届会议

结论

可以看出,Shade勒索软件攻击最频繁的目标是高科技类别的组织机构。虽然由于我们的客户群体的缘故,但是得出来的结论可能会倾向于英语国家,不过我们也可以发现,Shade勒索软件在俄罗斯以外的国家也非常活跃,针对的目标更多的是会说英语的受害者而不是俄国人。

本文翻译自:https://unit42.paloaltonetworks.com/shade-ransomware-hits-high-tech-wholesale-education-sectors-in-u-s-japan-india-thailand-canada/ 如若转载,请注明原文地址: https://www.4hou.com/typ/18204.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论