Recorded Future發現,外號為Nosophoros的駭客今年1月在地下論壇中兜售的Thanos勒索軟體,可能是市場上第一個採用RIPlace技術的勒索軟體,駭客將Thanos定位為勒索軟體產生器,具備43種配置選項。(示意圖,Source: Recorded Future,https://www.recordedfuture.com/thanos-ransomware-builder/)

資安業者Nyotron在去年11月揭露了可供勒索軟體繞過安全偵測機制的RIPlace技術,當時尚未有任何勒索軟體採用該技術,不過,另一資安業者Recorded Future最近發現,新版的Thanos勒索軟體已經加入了RIPlace技術,還把它納入「企業版」功能中。

Nyotron解釋,勒索軟體的攻擊有三個標準步驟,先開啟及讀取原始檔案,再於記憶體中加密檔案,繼之破壞原始檔案。而破壞原始檔案的方法有3種,把加密檔案寫進原始檔案中;或是直接將加密檔案存入硬碟,再利用DeleteFile功能刪除原始檔案;也能選擇把原始檔案存入硬碟,再透過Rename功能置換原始檔案,幾乎所有駭客都採用前面兩種,而第三種則屬於Windows作業系統的設計漏洞,尚未被駭客利用,但只需要兩行程式就能開採,並將它命名為RIPlace技術。

當時Nyotron還公布了RIPlace的概念性驗證攻擊程式,而且測試了坊間號稱可偵測勒索軟體的十多種防毒工具,發現它們全都無法逮到透過RIPlace技術所執行的攻擊行動。

而Recorded Future則發現,外號為Nosophoros的駭客今年1月在地下論壇中兜售的Thanos勒索軟體,便採用了RIPlace技術,很可能是市場上第一個採用RIPlace的勒索軟體。

駭客將Thanos定位為勒索軟體產生器,具備43種配置選項,還提供只訂閱一個月的輕量版(Light),以及可訂閱整個Thanos生命周期的企業版(Company),而進階的RootKit、RIPlace或是在目標組織中橫向移動的功能,都只出現在企業版中。

Recorded Future預期,勒索軟體即服務(ransomware-as-a-service)的市場將會繼續茁壯,且訂閱輕量版的用戶都能成為Thanos會員,而Thanos的企業客戶,則能建立自己的勒索軟體即服務業務。


Advertisement

更多 iThome相關內容