Yurei:勒索软件领域的新面孔
关键要点
- Yurei是9月5日首次被发现的新兴勒索软件组织,首个泄露受害者是斯里兰卡一家食品制造公司
- 该组织采用双勒索模式:加密受害者文件并窃取敏感数据,要求支付赎金以解密文件并承诺不公开被盗信息
- Check Point Research确定Yurei的勒索软件仅对开源勒索软件家族Prince-Ransomware进行了微小修改
- Yurei的勒索软件存在可能通过卷影副本实现部分恢复的缺陷,但该组织主要依赖基于数据盗窃的勒索
- 自9月5日列出第一个受害者以来,受害者数量已增至三个,表明其运营快速增长
- 调查显示威胁行为者可能源自摩洛哥
Yurei勒索软件
Check Point Research于9月5日发现了一个新的勒索软件组织。该组织自称Yurei(日本民间传说中的一种幽灵),最初在其暗网博客上列出了一个受害者——斯里兰卡的一家食品制造公司。这些博客被勒索软件组织用来列出受害者,显示入侵证据(如内部文档截图),并提供受害者与操作者谈判的安全聊天界面。在运营的最初几天,又列入了两个新受害者,分别来自印度和尼日利亚,截至9月9日共有三个受害者。
图1 — 9月5日的Yurei勒索网站
Yurei勒索软件使用Go编程语言编写。虽然Go语言恶意软件并不罕见,但对某些防病毒供应商来说仍然难以检测。结合比C或C++更简单的开发体验以及跨平台编译的能力,Go继续成为恶意软件开发者的有吸引力选择。
在这种情况下,威胁行为者犯了一个错误:没有从二进制文件中剥离符号。因此,函数和模块名称被保留,通过这些可以清楚地看到Yurei的勒索软件主要基于名为Prince-Ransomware的开源勒索软件(目前在GitHub上仅作为重新上传提供),只进行了微小修改。相同的勒索软件代码库已被其他行为者使用,例如CrazyHunter案例。
图2 — 勒索通知
受害者被提供谈判.onion页面,受害者和威胁行为者可以在那里沟通并协商解密和删除被盗数据的价格,以及保证不发布公司文件。
图3 — Yurei聊天界面
技术分析
如前所述,Yurei是使用Go编写的开源Prince-Ransomware的一个分支,仅进行了微小修改。在高层,勒索软件执行以下操作:
- 枚举所有驱动器
- 并行加密每个驱动器上的文件并添加.Yurei扩展名
- 尝试设置壁纸
- 等待并监控新连接的网络驱动器然后加密
加密
文件使用ChaCha20算法加密,并附加.Yurei扩展名。勒索软件为每个文件生成随机ChaCha20密钥和随机nonce,然后使用ECIES和攻击者的公钥对两者进行加密。加密文件随后存储加密的密钥、nonce和文件内容,用||字符分隔:
图4 — 加密文件结构
开源起源
勒索软件的作者没有实现任何反分析功能,如混淆,反而在分发的二进制文件中包含了符号。
图5 — Yurei模块和函数
相同的模块名称filewalker、encryption和configuration也被开源Prince-Ransomware使用:
图6 — GitHub上的Prince-Ransomware源文件
对更改壁纸代码的进一步检查证实了Yurei基于Prince-Ransomware的怀疑。
图7 — Prince-Ransomware设置壁纸的代码
Yurei保留了相同PowerShell命令的未更改集合。
图8 — Yurei设置壁纸的代码
第一个命令应该从远程URL下载壁纸并保存为%TEMP%目录中的Wallpaper.png。下一个命令然后编译.NET程序集以调用SystemParametersInfo和SPI_SETDESKWALLPAPER来设置当前壁纸。
通常,勒索软件将壁纸设置为某种Logo或勒索通知。有趣的是,Yurei开发者没有提供要下载的壁纸。因此,恶意软件通过PowerShell运行下载命令,由于缺少URL而出错。由于在后续PowerShell命令中将壁纸设置为不存在的文件,Windows会退将背景设置为单一颜色,例如黑色。
检查GitHub上的构建器源代码显示,二进制文件附带符号是因为构建器没有设置适当的链接器标志来从二进制文件中剥离它们。威胁行为者可能根本没有接触构建器代码。
图9 — Prince-Ransomware链接器标志
Yurei的修改
虽然大部分源代码未被修改,但枚举要加密的文件和驱动器的代码与GitHub上公开可用的版本略有不同。虽然原始存储库使用单线程加密,但Yurei利用goroutine(Go的并发机制)并发加密每个驱动器:
图10 — Yurei goroutine
加密完成后,恶意软件进入一个新例程,持续监控新的网络驱动器以添加到加密队列:
图11 — Yurei monitorNetworkShares例程
虽然没有证据表明这是AI辅助开发,但即使是技能较低的开发者也可以使用大型语言模型的简单提示轻松执行对现有代码库的此类修改。
卷影副本恢复
尽管威胁行为者修改了代码库,但Yurei勒索软件仍然存在一个主要缺陷:它不删除现有的卷影副本。卷影副本是文件或整个卷的备份快照,如果启用,由卷影复制服务生成。勒索软件通常以这些副本为目标并删除它们,以阻止受害者使用Windows的内置恢复选项。
由于Yurei不包含此功能,如果启用了卷影副本,受害者可以将文件恢复到先前的快照,而无需与Yurei谈判。这种疏忽再次显示了该威胁行为者在其运营中缺乏复杂性。因此,强烈建议激活VSS并持续对系统进行快照作为针对Yurei等威胁的保护措施。然而,勒索软件组织越来越转向基于数据盗窃的勒索,因此这仅有助于操作恢复,但不能防止勒索。正如Yurei在其博客上所述,受害者支付赎金的主要压力点是数据泄露的威胁。这对企业有重大影响,在例如Midcity Marketing的情况下,还可能影响食品安全和国家供应链。
图12 — Yurei关于可能泄露的影响
追踪威胁行为者
查看VirusTotal上的样本显示,所有样本首次提交都来自摩洛哥。一个样本不包含票据ID,表明这可能是一个测试构建,可能由开发者自己上传。威胁行为者可能使用VirusTotal作为测试其勒索软件检测率的手段,再次表明我们正在处理一个技能较低的行为者。
当我们分析.onion页面的HTML源代码时,发现了一个阿拉伯语注释:
图13 — .onion页面HTML代码中的阿拉伯语注释
可用样本的路径工件都将本地路径列为D:\satanlockv2*,表明可能与SatanLockv2勒索软件有关联。查看SatanLockv2的其他样本,它们首次从摩洛哥上传,并且也基于Prince-Ransomware。
因此,我们以低置信度评估威胁行为者基于摩洛哥。
结论
Yurei展示了威胁行为者如何轻松地武器化开源勒索软件项目,仅进行最小修改,使低级威胁行为者能够进入勒索软件业务,而无需必要的开发技能甚至投入太多精力。通过重用Prince-Ransomware的代码库,该组织成功快速启动运营,但也继承了其缺陷,最显著的是未能删除卷影副本。这种疏忽使得在启用VSS的环境中能够部分恢复。然而,随着勒索软件组织越来越关注基于数据盗窃的勒索,这一缺陷对勒索软件运营的成功没有关键影响。
虽然开源恶意软件是一种威胁,但它也为防御者提供了检测和缓解这些变体的机会。然而,Yurei成功在几个受害者上运行了他们的运营,这表明即使是低投入的运营仍能导致成功。
防护
Check Point威胁仿真和Harmony端点全面覆盖攻击策略、文件类型和操作系统,并防护本报告中描述的攻击和威胁。
入侵指标
| 描述 | 值 |
|---|---|
| Onion页面 | fewcriet5rhoy66k6c4cyvb2pqrblxtx4mekj3s5l4jjt4t4kn4vheyd.onion |
| Yurei勒索软件 | 49c720758b8a87e42829ffb38a0d7fe2a8c36dc3007abfabbea76155185d29024f88d3977a24fb160fc3ba69821287a197ae9b04493d705dc2fe939442ba6461 1ea37e077e6b2463b8440065d5110377e2b4b4283ce9849ac5efad6d664a8e9e 10700ee5caad40e74809921e11b7e3f2330521266c822ca4d21e14b22ef08e1d 89a54d3a38d2364784368a40ab228403f1f1c1926892fe8355aa29d00eb36819 f5e122b60390bdcc1a17a24cce0cbca68475ad5abee6b211b5be2dea966c2634 0303f89829763e734b1f9d4f46671e59bfaa1be5d8ec84d35a203efbfcb9bb15 |
| SatanLockV2勒索软件 | afa927ca549aaba66867f21fc4a5d653884c349f8736ecc5be3620577cf9981f d2539173bdc81503bf1b842a21d9599948e957cadc76a283a52f5849323d8e04 |
勒索通知
|
|