欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

勒索软件Kraken Cryptor RaaS分析

来源:本站整理 作者:佚名 时间:2018-11-08 TAG: 我要投稿

Kraken Cryptor勒索软件最早是2018年8月中旬出现在地下论坛。9月中旬,被放在了SuperAntiSpyware的网站上,伪装成安全解决方案来感染想要下载防监听软件的用户系统。9月下旬,研究人员nao_sec发现Fallout Exploit Kit开始传播Kraken。
Insikt组织通过分析将Kraken Cryptor勒索软件与ThisWasKraken相关联。ThisWasKraken是暗网的新用户,于2018年8月12日注册,只活跃于俄罗斯犯罪论坛。ThisWasKraken主要用俄语和英语进行交流,但研究人员分析发现他的母语应该既不是英语,也不是俄语。他应该是使用了自动翻译工具,因为有许多的语法错误和句子结构错误。

Kraken Cryptor v2的广告
Kraken Cryptor勒索软件并不单卖给用户。而是通过一种分支合作项目进行传播,合作者可以获得勒索赎金的一部分作为报酬。这种勒索软件传播技术叫做ransomware-as-a-service (RaaS),是暗网中常用的技术之一。Kraken Cryptor的最新版本是v.2.0.7。

Kraken Cryptor v.2.0.7勒索信,其中指示了如何解密文件
截止目前,Kraken Cryptor RaaS需要潜在的分支合作者每个payload支付50美元。下面是合作项目的条款和条件:
· 合作者获得支付赎金的80%
· 项目可以无条件拒绝任何成员和申请者
· 合作者将得到7*24小时的支持服务
· 不允许提交Kraken样本至反病毒服务
· 对购买的payload不支持退款

威胁分析
ThisWasKraken的帖子说Kraken Cryptor RaaS不支持以下前苏联集团国家:
· 亚美尼亚
· 阿塞拜疆
· 白俄罗斯
· 爱沙尼亚
· 格鲁吉亚
· 伊朗
· 哈萨克斯坦
· 吉尔吉斯斯坦
· 拉脱维亚
· 立陶宛
· 摩尔多瓦
· 俄罗斯
· 塔吉克斯坦
· 土库曼斯坦
· 乌克兰
· 乌兹别克斯坦
从感染地图中可以看出,上面提到的不允许使用的国家中也有一些感染的情况。
每个Kraken Cryptor RaaS的分支都会收到一个特殊版本的Kraken,并要发送以下信息给ThisWasKraken进行配置:
· 与受害者进行通信的邮件地址
· 与受害者进行通信的备选邮件地址
· 勒索赎金的比特币金额,一般在0.075到1.25BTC之间
Mcafee和Recorded Future的研究人员一起分析了ThisWasKraken在论坛发的所有帖子。因为所有帖子都是俄语的,因此研究人员断定ThisWasKraken的母语肯定不是俄语和英语。根据帖子的内容,研究人员推断攻击者可能使用了自动翻译服务,因为出现了很多的词汇错误。相比俄语,攻击者对英语更加熟练,但在句子结构和拼写上仍然存在错误。勒索信中也有英语拼写错误。
ThisWasKraken应该是团队成员,但并不直接参与勒索软件开发。Jabber账户为thiswaskraken@exploit[.]im,是面向用户的,所有产品细节都联系产品支持团队teamxsupport@protonmail[.]com。
比特币是目前唯一支持的货币。Insikt组织研究人员发现了许多与该攻击活动相关的钱包地址。但有趣的是,Kraken开发者选择了在线赌博网站BitcoinPenguin作为其主要的洗钱方式。但一般网络犯罪分子都不会选择这种方式,而是选择传统的加密货币交易所。研究人员分析其中的一个原因应该是BitcoinPenguin不对会员身份进行验证。

与Kraken相关的比特币交易
下图是ThisWasKraken购买的劫持的web流量,可能与Kraken利用Fallout exploit kit传播的流量是相同的。

下面是ThisWasKraken 10月21日对论坛发帖中对Kraken Cryptor勒索软件v.2.0.7的技术说明:
· 勒索软件用C# (NET. Framework v. 3.5)语言编写
· 勒索软件可以非在线工作,支持通过email联系
· Payload的大小约为85kb,而反病毒分析中的payload大小一般都在94kb以上
· Kraken主要攻击Windows 8\8.1\10
· Kraken加密速度非常快
· 加密过程没有文件大小限制
· 勒索软件会在受害者上线时收集系统信息
· Kraken使用了AES-128/256 (CBC mode)和RSA, Salsa20, RC4等在内的混合加密算法
· 勒索软件用一种智能混淆加密方法来攻击随机位置的嗯我那件,包括网络共享加密
· 勒索软件可以加密共享网络上的存储设备
· 不支持赎金无法恢复文件
· Package中包含反调试和反取证工具
· 勒索信支持15种语言格式,有HTML和txt格式
· 使用了Canary trap反勒索软件绕过方法来防止key泄露
· 感染数据统计是基于IP统计的
分支成员每隔15天会收到一个Kraken的新版本来保持payload不被反病毒软件检测到。ThisWasKraken称,如果受害者想要免费的解密测试,分支成员应发送受害者的文件和对应的密钥到Kraken Cryptor勒索软件支持服务。该服务会解密文件并发送给下线成员,然后分支成员再转发给用户。受害者在支付了所有赎金之后,分支成员发送收到的赎金百分比到RaaS开发者来获取解密key,然后分支成员再转发给受害者。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载