信息來源:安全內(nèi)參
Paradise勒索軟件的源代碼在多個黑客論壇上外泄,成為第二個源代碼遭到泄露的主流勒索軟件。
安全廠商Security Joes高級威脅情報分析師Tom Malka透露,Paradise勒索軟件的.NET版本源代碼已經(jīng)于上周末在多個黑客論壇上外泄。
這批代碼已經(jīng)在俄語論壇XSS上被公開放出,也成為繼2020年初Dharma之后第二個源代碼遭到泄露的主流勒索軟件。
此次泄露事件的真實性,得到了曾多次分析以往Paradise勒索攻擊活動的惡意軟件分析師Bart Blaze與MalwareHunterTeam的驗證與確認(rèn)。
Paradise勒索軟件活動簡史
Paradise勒索軟件最早被發(fā)現(xiàn)于2017年9月,主打經(jīng)典的勒索軟件即服務(wù)(RaaS)模式,向網(wǎng)絡(luò)犯罪團(tuán)伙在線公開租賃。
攻擊者在注冊Paradise RaaS之后,即會收到一款名為builder的專用應(yīng)用,可以借此構(gòu)建起屬于自己的Paradise勒索軟件自定義版本。接下來,他們即可通過垃圾郵件或者其他方法將這套版本傳播給受害者。
雖然近年以來,我們已經(jīng)習(xí)慣于勒索軟件團(tuán)伙“定向追殺”知名企業(yè)、索要大額贖金的情況,但Paradise勒索軟件仍然堅持將矛頭指向家庭消費者與小型公司。
正是由于這種“從小處入手”的特性,讓Paradise RaaS成為不少犯罪團(tuán)伙進(jìn)軍勒索攻擊的切入點。他們先是嘗試騷擾終端消費者與小型公司,之后才轉(zhuǎn)向其他足以令大企業(yè)淪陷的專業(yè)級攻擊工具。
Paradise RaaS已經(jīng)運行多年且不斷發(fā)布新的版本,其中就包括前文提到的.NET版本。2019年與2020年曾出現(xiàn)數(shù)起使用此版本的攻擊案例。
RaaS業(yè)務(wù)在2019年10月終于面臨誕生以來的首次重?fù)?,?dāng)時安全廠商Emsisoft發(fā)布了一款免費的解密工具程序,可供受害者解密由Paradise加密的文件。解密工具一出,勒索活動自然是無功而返。
Paradise團(tuán)伙隨后以發(fā)布了新的版本,但安全公司Bitdefender幾個月后(2020年1月)又發(fā)布了第二款解密器。
自此之后,RaaS似乎一蹶不振,安全研究人員每周發(fā)現(xiàn)的相關(guān)攻擊也越來越少。
2020年3月,Paradise團(tuán)伙的某附屬小組再次利用新型垃圾郵件通過IQY文件傳播了勒索軟件,但這也算是其最后的掙扎到了。之后一段時間,Paradise逐漸銷聲匿跡,最后一次公開樣本出現(xiàn)在2021年1月。
安全廠商SonicWall還報告發(fā)現(xiàn)了一款名為Cukiesi的新型勒索軟件版本,最終得出結(jié)論稱它屬于原Paradise的一個分支,但這種新變體也未能存活多久。
如今,Paradise勒索軟件的原生版本每周仍在實施少量攻擊。根據(jù)MalwareHunterTeam的統(tǒng)計,ID-Ransomware服務(wù)在過去30天之內(nèi)僅收到兩次提交,表明Paradise項目已經(jīng)被放棄或者原生版本已經(jīng)極少被使用(與.NET等替代版本相比,原生編碼的勒索軟件加密速度更快)。
Paradise勒索軟件的builder泄露
Malka與Blaze在采訪中強調(diào),上周末泄露的Paradise代碼正是其.NET版本源代碼,更準(zhǔn)確地說是其builder與解密工具程序的源代碼。
盡管只是使用頻率較低的.NET版本,Paradise勒索軟件builder的外泄仍然值得我們給予關(guān)注。
Blaze分析師今天嘗試構(gòu)建了一各Paradise勒索軟件樣本,并在上傳至ID-Ransomware服務(wù)進(jìn)行驗證,但被歸類為無法解密。
這種無法解密的特性,加上公開的源代碼在互聯(lián)網(wǎng)上快速傳播,我們不排除會有部分惡意人士抓住機會開展Paradise攻擊。雖然不像Paradise RaaS原生版本那么精準(zhǔn)高效,但相信這套.NET版本也足夠引起不小的麻煩。
參考來源:therecord.media