圖片來源: 

ID Ransomware blog

REvil勒索軟體令企業聞風喪膽,似乎也成駭客界「致敬」的對象。安全廠商發現一隻新的勒索軟體LV,程式碼和REvil某個版本幾乎一模一樣,似乎是新瓶舊酒的概念。

圖片來源_ID Ransomware blog

Secureworks Counter Threat Unite (CTU)分析LV勒索軟體,發現它和REvil具有相同的程式架構,顯示它背後的組織Gold Northfield可能是向REvil的營運組織Gold Southfield買原始碼,或與REvil共享程式碼,就是REvil程式碼被黑吃黑,竊走了程式碼。

研究人員尚未看到LV勒索軟體在地下駭客論壇張貼廣告,但分析LV組態中的campaign ID,以及叫陣、羞辱受害者的作風顯示,Gold Northfield推出了勒索軟體即服務(Ransomware-as-a-Service)。

CTU分析證實Gold Northfield可能是置換了REvil 2.03 beta版的組態,而將REvil的二進位檔改造為己用。這麼做需要REvil和LV兩者具有一模一樣的組態格式。它做了2件事,先從REvil二進位檔抓出具備重要元素的字串後,予以加密成為LV組態。第2步是產生這個組態的新雜湊,以此新版本置換REvil二進位檔中儲存的舊雜湊。最後Gold Northfield為REvil二進位檔加入所有必要元素。

成功的話,就能使該二進位檔以LV組態檔執行,等於置換成Gold Northfield的腦袋,以LV 公鑰保護的連線金鑰(session key)來加密受害者檔案,而受害者也會收到LV勒索軟體訊息,被導向LV勒索軟體網站。

研究人員判斷這比較像是一種吃REvil豆腐的行為,駭客不想投入資源開發,想做無本生意,藉由竊取他人辛苦開發的成果獲取最大利益。研究人員也預期開發REvil的Gold Southfield必定不滿被竊取程式碼,未來一定會加入更嚴格的防竄改保護措施。

REvil無疑是近來最知名的勒索軟體,受害者不計其數,醫院、大型製造業都曾遭其毒手。光是臺灣,就有日月光旗下的Asteeflash、宏碁,以及最近的廣達電腦傳出被攻擊勒贖數千萬美元。最近知名受害者是美國政府核武外包商Sol Oriens,全球最大肉品供應商JBS被駭可能也是REvil所為。

熱門新聞

Advertisement