.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
FortiGuard實驗室每兩週收集一次感興趣的勒索軟件變體的數據,並發布有關報告,旨在讓讀者了解不斷發展的勒索軟件形勢以及抵禦這些變體的緩解措施,本文要講的是Retch和S.H.O勒索軟件。
受影響的平台:Microsoft Windows;
受影響方:Microsoft Windows用戶;
影響:加密和洩露受害者的文件,並要求贖金解密文件;
嚴重性級別:高;
Retch勒索軟件概述Retch是2023年8月中旬首次發現的一種新的勒索軟件變體,它在受攻擊設備上加密文件,並留下兩張勒索信,要求受害者支付贖金來解密文件。
攻擊媒介雖然目前無法獲得有關Retch勒索軟件攻擊者使用的攻擊媒介的信息,但是它可能與已知其他勒索軟件組織有顯著關聯。
目前,來自以下國家的Retch勒索軟件樣本已提交給公共文件掃描服務:
美國
伊朗
德國
俄羅斯
法國
哥倫比亞
韓國
義大利
一旦勒索軟件運行,它就會查找並加密具有以下文件擴展名的文件:
以下目錄不支持文件加密:
'Windows'
'Program Files'
'Program Files (x86)'
勒索軟件為加密文件添加了“.Retch”擴展名。
由Retch勒索軟件加密的文件
然後,它會在每個加密文件的文件夾中放上一條標記為“Message.txt”的勒索信。
Retch勒索軟件釋放的勒索信
在勒索信中,攻擊者要求受害者支付價值300歐元的比特幣來解密文件,由於贖金要求較低,Retch勒索軟件的攻擊目標很可能是一般消費者而不是企業。如下圖所示,贖金信息有法語和英語兩種版本,這使我們相信Retch勒索軟件主要針對法國用戶。然而,進一步的調查顯示,情況並非如此。
研究人員還發現,放在桌面上的勒索信與“Message.txt”不同。留在桌面上的勒索信標有“HOW TO RECOVER YOUR FILES.txt”,並要求受害者支付價值1000美元的比特幣進行文件解密。這份勒索信有一個不同的聯繫電子郵件地址,其中包括攻擊者的比特幣錢包地址。
Retch勒索軟件在桌面上留下的勒索信標有“HOW TO RECOVER YOUR FILES.txt”
事實證明,Retch勒索軟件是基於一個公開的勒索軟件源代碼開發的,該源代碼聲稱用於教育目的,似乎是基於一款著名的開源勒索軟件“HiddenTear”。默認情況下,開源勒索軟件的勒索信如下圖所示,攻擊者似乎只在桌面上定制了只有英文的勒索信,而其他所有位置的勒索信都沒有受到影響,這表明Retch勒索軟件並沒有像最初想像的那樣針對法國用戶。如上所述,向公共文件掃描服務提交文件的國家很普遍,這進一步表明研究人員的懷疑是正確的。
在我們進行調查時,攻擊者的比特幣錢包沒有記錄任何交易。
S.H.O勒索軟件概述攻擊媒介目前還沒有關於S.H.O勒索軟件攻擊者使用的攻擊媒介的信息,不過,它可能與已知其他勒索軟件組織有顯著關聯。
S.H.O勒索軟件樣本已提交給以下國家的公共文件掃描服務:
美國;
加拿大;
勒索軟件執行勒索軟件運行後,會對受攻擊設備上的文件進行加密,並添加五個隨機字母和數字作為文件擴展名。
S.H.O勒索軟件加密的文件
S.H.O嘗試使用以下擴展名加密文件:
以下文件被排除在所有目錄外:
排除加密的文件列表
這些目錄也被排除在加密內容之外:
排除加密的目錄列表
S.H.O使用RSA公鑰和Microsoft“Rijndael Managed”C#庫對每個文件進行加密。
文件加密例程
在完成加密後,它會用自己的壁紙替換桌面壁紙,要求受害者找到並閱讀文件“readme.txt”,這是一封勒索信。
被S.H.O勒索軟件取代的壁紙
FortiGuard實驗室發現了兩種S.H.O勒索軟件變體,它們留下了不同的勒索信,儘管勒索信上有屬於攻擊者的不同比特幣地址,但贖金費用始終保持在200美元。
S.H.O勒索軟件變體留下的勒索信
另一個S.H.O勒索軟件變體留下的勒索信
贖金信息恐嚇受害者支付贖金,在調查時,這兩個比特幣錢包都不可用。
Fortinet客戶已經通過其AntiVirus和FortiEDR服務受到保護,免受這些惡意軟件變體的影響,如下所示:
FortiGuard實驗室檢測到具有以下殺毒軟件簽名的Retch勒索軟件樣本:
1.MSIL/Filecoder.AK!tr.ransom:
FortiGuard實驗室檢測的S.H.O勒索軟件樣本具有以下反病毒簽名。
2.MSIL/Filecoder.APU!tr.ransom:FortiGuard防病毒服務包括FortiGate、FortiMail、forticclient和FortiEDR。運行當前防病毒更新的Fortinet EPP客戶也受到保護。
IOC 
緩解措施1.由於易受干擾、日常運營受攻擊、對組織聲譽的潛在影響,以及個人身份信息(PII)的不必要破壞或發布等,保持所有AV和IPS簽名的最新性至關重要。
2.由於大多數勒索軟件都是通過網絡釣魚傳播的,組織應考慮利用Fortinet解決方案來培訓用戶了解和檢測網絡釣魚威脅。
3.FortiFish網絡釣魚模擬服務使用真實世界的模擬來幫助組織測試用戶對網絡釣魚威脅的意識和警惕性,並在用戶遇到有針對性的網絡釣魚攻擊時培訓和加強正確的做法。
4.增加內部培訓,幫助最終用戶學習如何識別和保護自己免受各種類型的網絡釣魚攻擊,並可以輕鬆添加到內部培訓計劃中。
5.組織需要對數據備份的頻率、位置和安全性進行根本性的更改,以有效應對勒索軟件不斷演變和迅速擴大的風險。再加上數字供應鏈的攻擊和員工遠程辦公進入網絡,攻擊可能來自任何地方,這是一個真正的風險。
6.基於雲的安全解決方案,如SASE,用於保護離網設備,高級終端安全,如EDR(終端檢測和響應)解決方案,可以在攻擊中期中斷惡意軟件,以及零信任訪問和基於策略和上下文限制,對應用程序和資源的訪問的網絡分段策略,都應該進行調查,以最大限度地降低風險並減少成功勒索軟件攻擊的影響。
作為業界領先的完全集成安全結構的一部分,Fortinet還提供了廣泛的技術和基於人工的即服務產品組合,為你的安全生態系統提供本地協同和自動化。
7.CISA、NCSC、FBI和HHS等組織警告勒索軟件受害者不要支付贖金,部分原因是贖金並不能保證文件會被找回。