信息來源：安全內(nèi)參

Paradise勒索軟件的源代碼在多個黑客論壇上外泄，成為第二個源代碼遭到泄露的主流勒索軟件。

• Paradise勒索軟件的源代碼在多個黑客論壇上外泄，成為第二個源代碼遭到泄露的主流勒索軟件；

• 目前尚無法解密Paradise加密的數(shù)據(jù)，加上源代碼在網(wǎng)上快速傳播，或?qū)⒁疠^大的風波。

安全廠商Security Joes高級威脅情報分析師Tom Malka透露，Paradise勒索軟件的.NET版本源代碼已經(jīng)于上周末在多個黑客論壇上外泄。

這批代碼已經(jīng)在俄語論壇XSS上被公開放出，也成為繼2020年初Dharma之后第二個源代碼遭到泄露的主流勒索軟件。

此次泄露事件的真實性，得到了曾多次分析以往Paradise勒索攻擊活動的惡意軟件分析師Bart Blaze與MalwareHunterTeam的驗證與確認。

Paradise勒索軟件活動簡史

Paradise勒索軟件最早被發(fā)現(xiàn)于2017年9月，主打經(jīng)典的勒索軟件即服務(wù)（RaaS）模式，向網(wǎng)絡(luò)犯罪團伙在線公開租賃。

攻擊者在注冊Paradise RaaS之后，即會收到一款名為builder的專用應(yīng)用，可以借此構(gòu)建起屬于自己的Paradise勒索軟件自定義版本。接下來，他們即可通過垃圾郵件或者其他方法將這套版本傳播給受害者。

雖然近年以來，我們已經(jīng)習慣于勒索軟件團伙“定向追殺”知名企業(yè)、索要大額贖金的情況，但Paradise勒索軟件仍然堅持將矛頭指向家庭消費者與小型公司。

正是由于這種“從小處入手”的特性，讓Paradise RaaS成為不少犯罪團伙進軍勒索攻擊的切入點。他們先是嘗試騷擾終端消費者與小型公司，之后才轉(zhuǎn)向其他足以令大企業(yè)淪陷的專業(yè)級攻擊工具。

Paradise RaaS已經(jīng)運行多年且不斷發(fā)布新的版本，其中就包括前文提到的.NET版本。2019年與2020年曾出現(xiàn)數(shù)起使用此版本的攻擊案例。

RaaS業(yè)務(wù)在2019年10月終于面臨誕生以來的首次重擊，當時安全廠商Emsisoft發(fā)布了一款免費的解密工具程序，可供受害者解密由Paradise加密的文件。解密工具一出，勒索活動自然是無功而返。

Paradise團伙隨后以發(fā)布了新的版本，但安全公司Bitdefender幾個月后（2020年1月）又發(fā)布了第二款解密器。

自此之后，RaaS似乎一蹶不振，安全研究人員每周發(fā)現(xiàn)的相關(guān)攻擊也越來越少。

2020年3月，Paradise團伙的某附屬小組再次利用新型垃圾郵件通過IQY文件傳播了勒索軟件，但這也算是其最后的掙扎到了。之后一段時間，Paradise逐漸銷聲匿跡，最后一次公開樣本出現(xiàn)在2021年1月。

安全廠商SonicWall還報告發(fā)現(xiàn)了一款名為Cukiesi的新型勒索軟件版本，最終得出結(jié)論稱它屬于原Paradise的一個分支，但這種新變體也未能存活多久。

如今，Paradise勒索軟件的原生版本每周仍在實施少量攻擊。根據(jù)MalwareHunterTeam的統(tǒng)計，ID-Ransomware服務(wù)在過去30天之內(nèi)僅收到兩次提交，表明Paradise項目已經(jīng)被放棄或者原生版本已經(jīng)極少被使用（與.NET等替代版本相比，原生編碼的勒索軟件加密速度更快）。

Paradise勒索軟件的builder泄露

Malka與Blaze在采訪中強調(diào)，上周末泄露的Paradise代碼正是其.NET版本源代碼，更準確地說是其builder與解密工具程序的源代碼。

盡管只是使用頻率較低的.NET版本，Paradise勒索軟件builder的外泄仍然值得我們給予關(guān)注。

Blaze分析師今天嘗試構(gòu)建了一各Paradise勒索軟件樣本，并在上傳至ID-Ransomware服務(wù)進行驗證，但被歸類為無法解密。

這種無法解密的特性，加上公開的源代碼在互聯(lián)網(wǎng)上快速傳播，我們不排除會有部分惡意人士抓住機會開展Paradise攻擊。雖然不像Paradise RaaS原生版本那么精準高效，但相信這套.NET版本也足夠引起不小的麻煩。

參考來源：therecord.media