臭名昭著的Kraken勒索软件的作者发布了新的恶意代码,并在暗网上用勒索即服务这种模式来传播。
研究人员从Recorded Future的Insikt Group和McAfee的高级威胁研究团队中发现了一种新的恶意软件,这种恶意软件是在暗网上通过RaaS模式传播的。
新的Kraken v.2版本正在一个暗网论坛上做广告,可以通过勒索即服务(RaaS)模式获得。只要花50美元,你就可以作为一个值得信赖的合作伙伴加入联盟计划,并且每15天就能收到一个新的改进版的Kraken勒索软件。加盟者收到80%的支付赎金并且运营商提供一星期7天24小时的支持服务。
McAfee发布的一篇文章写道:“McAfee高级威胁研究小组与Insikt组织合作,发现了Kraken的作者们要求将Fallout团队加入攻击包的证据。通过这种合作,Kraken现在为其加盟客户提供了一种额外的恶意软件传递方法。”
“我们还发现与Kraken勒索软件相关的用户ThisWasKraken有一个付费账户。付费账户在地下论坛上并不少见,但通常提供勒索软件等服务的恶意软件开发人员都是可信度高的成员,并由其他高级论坛成员审查。有缴费帐户的会员通常不受团队的信任。”
Kraken Cryptor是一个勒索服务的(RaaS)附属项目,于2018年8月16日首次出现在地下网络犯罪中,由危险人物ThisWasKraken在一个顶级的俄语网络犯罪论坛上做广告。
9月底,安全研究人员nao_sec发现,Fallout团队攻击包(与分发GandCrab勒索软件相同)开始提供Kraken勒索软件。
在受害者支付全部赎金后,加盟成员发送20%的收到的付款到RaaS,然后收到ThisWasKraken发出的一个解密密钥,再转发给受害者。
像其他安全威胁一样,Kraken Cryprotr RaaS不允许感染一些前苏联国家的用户。
“除了上面列出的国家,最近在公网发现的勒索样本不再影响叙利亚、巴西和伊朗的用户,这表明这个ThisWasKraken可能与巴西和伊朗有某种联系,尽管这一点尚未得到证实。叙利亚可能是在一名受害者的电脑被另一款名为GandCrab的勒索软件感染后,该受害者请求帮助后加入该组织的。”《记录未来》杂志发表的分析文章中写道。
Insikt Group的专家注意到,RaaS运营商不允许加盟者向反病毒服务提交Kraken样本文件,也不为购买的勒索软件提供退款。
下面的地图显示的是此次勒索软件的作者公布的受害者分布。
自去年8月以来,该病毒已在全球范围内感染了620名受害者,但专家指出,第一次真正的攻击行动是在上个月才开始的,当时攻击者在网站SuperAntiSpyware上伪装成安全解决方案。
Kraken Cryptor 1.5 ransomware样本:https://t.co/HjOi2e8HUg
注意现在是html,名称:#如何解密文件.html
来自独联体国家和伊朗的受害者可以免费解密。如果有“IP地址和地理位置”数据,公民卡仍然需要…
@BleepinComputer @demonslay335 pic.twitter.com/mgyk13v0wD
-MalwareHunterTeam (@malwrhunterteam) 2018年9月14日
专家们强调,在地下网络犯罪中,RaaS模式和其附属项目正在增加,吸引了越来越多想成为犯罪分子的人。
原文链接:https://securityaffairs.co/wordpress/77650/malware/kraken-ransomware-2-raas.html