標題：Ransom Cartel勒索軟件與REvil的可能聯繫

Ransom Cartel是在2021年12月才被發現的勒索軟件即服務(RaaS)。此勒索軟件執行雙重勒索攻擊，並與REvil勒索軟件表現出一些相似之處和技術重疊。從時間維度來說，Ransom Cartel是在REvil勒索軟件消失後幾個月出現的。當Ransom Cartel首次出現時，尚不清楚是REvil的重現還是重用或模仿REvil代碼。

REvil消失的歷史2021年10月，REvil運營商突然中止，其暗網洩露網站也突然無法訪問。大約在2022年4月中旬，個別安全研究人員和網絡安全媒體報導了REvil的一項新進展，這可能意味著該組織的回歸。 REvil在dnpscnbaix6nkwvystl3yxglz7nteicqrou3t75tpcc5532cztc46qyd[.]onion和aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd[.]onion開始將用戶重定向到blogxxu75w63ujqarv476otld7cyjkq4yoswzt4ijadkjwvg3vrvd5yd[.]onion/Blog。

同一天晚些時候，重定向被刪除。當時，還無法確定是哪個組織發起了重定向，因為這個新的重定向網站並沒有顯示任何名字或隸屬關係。

在重定向開始時，網站上沒有列出任何違規組織。隨著時間的推移，攻擊者開始添加出現在重定向網站上的記錄，大部分是在2021年4月下旬至10月期間。他們還包括以前REvil使用的文件共享鏈接作為攻擊的證據。

新的重定向網站列出了Tox Chat ID，用於與勒索軟件運營商進行通信。該網站暗示其運營商與REvil的聯繫，並聲稱該新組織提供了“相同但經過改進的軟件”。

unit42最初認為該網站與Ransom Cartel有關，攻擊者提到的“改進軟件” 是新的Ransom Cartel變體。然而，在進一步分析和看到更多證據後，研究人員認為這和Ransom Cartel毫無任何關係。

無論新的重定向網站是由Ransom Cartel還是由其他組織運營的，很明顯的是，儘管REvil可能已經消失，但其惡意影響力並未消失。新成立的組織似乎可以訪問REvil或與其建立聯繫。同時，我們對Ransom Cartel樣本的分析(在下面的部分中詳細介紹) 也提供了與REvil有關的有力證據。

Ransom Cartel概述研究人員大約在2022年1月中旬第一次觀察到Ransom Cartel。 MalwareHunterTeam的安全研究人員認為，該組織至少自2021年12月以來一直活躍。他們觀察到第一個已知的Ransom Cartel活動，並註意到與REvil勒索軟件的一些相似之處和技術重疊。

關於Ransom Cartel的起源有許多猜測。其中一種猜測是，Ransom Cartel可能是多個組織融合的結果。然而，MalwareHunterTeam的研究人員提出，其中一個被認為已經合併的組織否認與Ransom Cartel有任何联系。此外，unit42發現其中許多組織與REvil有聯繫外，沒有發現這些組織與Ransom Cartel有聯繫。

目前，研究人員認為Ransom Cartel運營商可以訪問REvil ransomware的早期版本的源代碼，但不能訪問一些最新的開發(有關更多詳細信息，請參閱Ransom Cartel和REvil代碼比較)。這表明，在某種程度上，這些組織之間存在著某種關係，儘管這種關係可能不是最近才出現的。

unit42還觀察到Ransom Cartel組織的攻擊目標，2022年1月左右在美國和法國觀察到第一個已知的受害者。 Ransom Cartel攻擊了以下行業的企業: 教育，製造業，公用事業和能源。 unit42事件響應者還協助客戶在幾起Ransom Cartel案件中做出反應。

像許多其他勒索軟件組織一樣，Ransom Cartel利用雙重勒索技術。 unit42觀察到該組織採取了更激進的態度，威脅不僅要將竊取的數據發佈到他們的洩露網站上，還會將數據發送給受害者的合作夥伴、競爭對手和新聞媒體，以造成名譽損害。

Ransom Cartel通常通過被破壞的憑證獲得對環境的初始訪問權，這是勒索軟件運營商初始訪問的最常見途徑之一。這包括外部遠程服務、遠程桌面協議(RDP) 、安全shell協議(SSH) 和虛擬專用網絡(vpn) 的訪問憑證。這些憑證在網絡黑市中被廣泛可用，並為攻擊者提供了一種可靠的手段來訪問受害者的公司網絡。

這些憑據也可以通過勒索軟件運營商本身的活動或通過從初始訪問代理購買來獲得。

初始訪問代理是提供出售受損網絡訪問的攻擊者。他們的動機不是自己進行網絡攻擊，而是向其他攻擊者出售訪問權限。由於勒索軟件的盈利能力，這些代理可能會根據他們願意支付的金額與RaaS組織建立合作關係。

unit42已經發現Ransom Cartel依靠這種類型的服務來獲得對勒索軟件部署的初始訪問權限的證據。 Unit 42還觀察到Ransom Cartel在攻擊企業網絡時對Windows和Linux VMWare ESXi服務器進行加密。

在Ransom Cartel攻擊中觀察到的戰術、技術和程序unit42使用一種名為DonPAPI的工具觀察到一名Ransom Cartel攻擊者，這種工具在過去的事件中從未被發現過。該工具可以定位和檢索Windows數據保護API (DPAPI)受保護的憑證，這被稱為DPAPI轉儲。

DonPAPI用於搜索設備上已知為DPAPI blob的某些文件，包括Wi-Fi密鑰、RDP密碼、保存在web瀏覽器中的憑證等。為了避免被反病毒(av)或終端檢測和響應(EDR)檢測到的風險，該工具下載文件並在本地解密。為了破壞Linux ESXi設備，Ransom Cartel使用DonPAPI獲取存儲在web瀏覽器中的憑據，用於對vCenter web界面進行認證。

研究人員還觀察到攻擊者使用了其他工具，包括恢復本地存儲的憑據的LaZagne和從主機內存竊取憑據的Mimikatz。

為了建立對Linux ESXi設備的持久訪問，攻擊者在對vCenter進行身份驗證後啟用SSH。攻擊者將創建新的帳戶，並將帳戶的用戶標識符(UID)設置為零。對於Unix/Linux用戶，UID=0表示root。這意味著任何安全檢查都被繞過了。

據觀察，該攻擊者正在下載並使用一種名為PDQ Inventory的合法工具的破解版本。 PDQ Inventory是一種合法的系統管理解決方案，IT管理員可以使用它掃描他們的網絡，收集硬件、軟件和Windows配置數據。 Ransom Cartel利用它作為遠程訪問工具，建立交互式命令和控制通道，並掃描受感染的網絡。

一旦VMware ESXi服務器被破壞，攻擊者將啟動加密器，它將自動枚舉正在運行的虛擬機(vm)，並使用esxcli命令關閉它們。通過終止虛擬機進程，可以確保勒索軟件能夠成功加密vmware相關文件。

在加密過程中，Ransom Cartel專門尋找具有以下文件擴展名的文件：log，vmdk，vmem，vswp和.vmsn。這些擴展與ESXi快照、日誌文件、交換文件、分頁文件和虛擬磁盤相關聯。加密後，觀察到以下文件擴展名：zmi5z，nwixz，ext，zje2m，5vm8t和.m4tzt。

勒索通知unit42觀察到Ransom Cartel發送的兩種不同版本的勒索通知。第一個勒索通知最早是在2022年1月周圍觀察到的，另一個勒索通知是在2022年8月首次出現的。第二個版本似乎被完全重寫了，如圖1所示。

Ransom Cartel勒索通知，左邊的是在2022年1月中首次觀察到的，右邊的是在2022年8月中首次觀察到的

有趣的是，Ransom Cartel使用的第一個勒索通知的結構與REvil發送的勒索通知具有相似之處，如下圖所示。除了使用類似的措辭外，兩個註釋都對UID採用了相同格式的16字節十六進製字符串。

左側顯示的Ransom Cartel勒索通知，而右邊顯示的是REvil發送的勒索通知

Ransom Cartel TOR網站Ransom Cartel與受害者溝通的網站可通過贖金說明中提供的TOR鏈接獲得。我們已經觀察到屬於Ransom Cartel的多個TOR url，這可能表明他們一直在改變基礎設施並積極開發其網站。訪問網站需要一個TOR私鑰。

輸入密鑰時，將加載以下頁面：

Ransom CartelTOR網站登陸頁面

通過授權按鈕進入TOR網站後，會出現一個屏幕，要求輸入贖金通知中包含的詳細信息。

Ransom Cartel網站，要求在贖金通知中提供的ID和密鑰

在TOR網站上完成授權後，將出現下圖所示的頁面。該網站包括美元和比特幣的贖金需求以及比特幣錢包地址等詳細信息。

Ransom CartelTOR網站

技術細節在此分析中使用了兩個Ransom Cartel樣本:

兩個樣本都包含三種輸出：

如果不指定導出而執行DLL，則示例還包含一個DllEntryPoint。 DllEntryPoint指向一個函數，該函數在對Curve25519 Donna算法的調用上迭代24次。迭代結束後，示例將查詢系統指標，特別是SM_CLEANBOOT值。如果這個值不是0，勒索軟件將繼續通過rundll32.exe生成自己的另一個實例，並指定Rathbuige導出。

SM_CLEANBOOT值

Rathbuige導出從創建以下互斥鎖開始:

創建互斥鎖後，示例開始解密並解析其嵌入式配置。該配置存儲為一個base64編碼的blob，其中base64編碼的blob的前16個字節是RC4密鑰，用於在解碼後解密blob的其餘部分。

Ransom Cartel加密配置

一旦解密，該配置將以JSON格式存儲，並包含諸如加密文件擴展名、攻擊者的公共Curve25519-donna密鑰、base64編碼的贖金通知以及加密前要終止的進程和服務列表等信息。

解密Ransom Cartel配置示例

配置中的對應值如下：

配置結構

有針對性的進程列表

有針對性的服務列表

避免擴展

解密配置後，將收集某些系統信息，包括用戶名，計算機名稱，域名，區域設置和產品名稱。然後將此信息格式化為以下JSON結構:

結構內每個項的作用

硬編碼JSON格式項和值

一旦收集到的數據被格式化為JSON結構，它將使用與Ransom Cartel生成session_secret blob相同的過程進行加密，稍後將討論這個過程。簡而言之，它涉及AES加密，對AES密鑰使用Curve25519共享密鑰的SHA3哈希。

一旦加密，它被寫入註冊表項SOFTWARE\\Google_Authenticator\\b52dKMhj，如果沒有正確的權限，示例首先嘗試寫入HKEY_LOCAL_MACHINE配置單元，然後寫入HKEY_CURRENT_USER。將數據寫入註冊表後，它將被base64編碼並嵌入到贖金通知中，取代{KEY}佔位符。

一旦配置被解析並存儲在註冊表中，就會解析提供給勒索軟件的命令行。總共有5個可能的參數，如下表所示。

接下來，讓我們繼續分析會話秘密生成過程。

Ransom Cartel首先檢查註冊表是否已經包含先前生成的值; 如果是這樣，它將把這些值讀入內存。否則，它將在運行時總共生成兩個會話秘密，每個秘密包含88個字節的數據。

首先，將使用此Curve25519存儲庫(session_public_1和session_private_1) 中的代碼生成公鑰和私鑰對。當生成第一個會話秘密時，會生成另一個會話密鑰對(session_public_2和session_private_2)，並且session_private_2與attacker_cfg_public (配置中嵌入的公鑰) 配對以生成共享密鑰。然後使用SHA3哈希算法對該共享密鑰進行哈希處理。生成的哈希用作具有隨機16字節初始化向量(IV) 的AES密鑰，用於加密由四個空字節組成的後跟session_private_1的數據blob。

會話秘密生成過程示意圖

現在，使用CRC-32哈希加密blob，然後附加有session_public_2、AES IV和計算的CRC-32哈希的值。結果值為session_secret_1。第二個生成的會話秘密遵循完全相同的過程。但是，它沒有使用attacker_cfg_public，而是利用二進製文件中的嵌入式公鑰(attacker_embedded_public_1) 來生成共享密鑰。

反編譯會話秘密生成過程

最後一個嵌入式公鑰(attacker_embedded_public_2) 用於加密格式化為上述JSON結構的數據。

早在2020年，Amossys的研究人員就記錄了這種生成會話秘密的方法，然而，他們的分析集中在Sodinokibi/REvil勒索軟件的更新版本上，表明REvil源代碼和最新的Ransom Cartel樣本之間有直接重疊。

一旦生成了會話秘密，它們就會與session_public_1和attacker_cfg_public一起寫入註冊表。

Ransom Cartel使用的註冊表路徑和值

此時，將收集並生成所有所需的信息，以便開始文件加密。

對於每個文件，生成唯一的文件公鑰和私鑰對(file_public_1和file_private_1)，再次使用Curve25519 Donna. file_private_1和session_public_1配對在一起以生成共享密鑰，該共享密鑰使用sha3進行哈希處理。生成的哈希用作Salsa20 (一種對稱加密算法) 的加密密鑰，並使用CryptGenRandom生成隨機的八字節隨機數。計算file_public_1的CRC-32哈希，然後使用生成的Salsa20矩陣對四個空字節進行加密。

然後保留上述數據的某些元素，並將其用作加密文件頁腳的一部分，每個文件頁腳的長度為232字節，由以下部分組成：

與session_secret生成類似，該結構與Amossys分析的REvil樣本的結構相同，進一步表明在開發Ransom Cartel樣本時，對REvil源代碼的更改很少。

文件加密設置過程

Ransom Cartel和REvil代碼比較Ransom Cartel的樣本分析顯示了與REvil勒索軟件的相似之處。

Ransom Cartel和REvil之間的第一個值得注意的相似之處是配置的結構。檢查2019年的REvil樣本(SHA256: 6a2bd52a5d68a7250d1de481dcce91a32f54824c1c540f0a040d05f757220cd3)，可以看到相似性。然而，加密配置的存儲略有不同，選擇將配置存儲在二進製文件(.ycpc19)的單獨部分中，初始的32字節RC4密鑰後面是原始加密配置，而對於Ransom Cartel示例，配置作為base64編碼的blob存儲在.data部分中。

REvil配置存儲

一旦REvil配置被解密，它將使用相同的JSON格式，但包含額外的值，如pid、sub、fast、wipe和dmn。這些值表示REvil示例中的附加功能，這可能意味著要么是Ransom Cartel的開發人員刪除了某些功能，要么是他們在REvil的較早版本之上構建。