欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

新的LockerGoga勒索软件用于Altran攻击

来源:本站整理 作者:佚名 时间:2019-02-01 TAG: 我要投稿

黑客利用恶意软件感染了Altran Technologies的系统,并通过公司网络传播,影响了一些欧洲国家的运营。为了保护客户数据和自己的资产,Altran决定关闭其网络和应用程序。
这次攻击发生在1月24日,但法国工程咨询公司昨天才公布了一份公开声明,并将细节保持在最低限度,声称第三方技术专家和数字取证专家正在审理此案。
为了保护我们的客户,员工和合作伙伴,我们立即关闭了我们的IT网络和所有应用程序。客户和数据的安全性始终是我们的首要任务。我们已经动员了全球领先的第三方技术专家和取证专家,我们与他们一起进行的调查没有发现任何被盗取的数据,也没有发现此事件传播给客户。
一、Altran遭遇了新的LockerGoga勒索软件
Altran没有提到影响其网络的恶意软件的类型,但是安全研究人员跟踪了公共breadcrumbs的踪迹,已经发现了足够的证据来确定它是一种勒索软件攻击。
针对Altran的网络攻击首次公开提及是1月25日发布的一条推文,此推文收到了计算机安全研究员的回复,他暗示上传到VirusTotal的恶意软件样本(malware sample)是攻击的幕后黑手。
(link: https://t.co/udeToPYHPo) https://t.co/17btK8Kc6g…
— V (@vxsh4d0w) January 25, 2019
此样本的初始VirusTotal检测率为26/69,但该文件很快被其他防病毒引擎选中,现在它被VirusTotal上的43个产品识别为恶意软件。
此样本于1月24日首次从罗马尼亚上传至VirusTotal,当天晚些时候又从荷兰添加。
如果上传到谷歌扫描服务的文件与攻击Altran计算机的文件相同,那么它就是一个名为LockerGoga的勒索软件。此勒索软件的名称基于用于将源代码编译为可执行文件的路径,由MalwareHunterTeam发现。
X:\work\Projects\LockerGoga\cl-src-last\cryptopp\src\rijndael_simd.cpp
当BleepingComputer测试勒索软件时,我们发现它非常慢,这是由于每次加密文件时它都衍生另外一个进程。当与一位名叫Valthek的安全研究人员讨论这个问题时,BleepingComputer被告知该代码很草率很缓慢,并且没有尽力规避检测。
根据安全研究SwitHak,执行时勒索软件通常会针对DOC,DOT,WBK,DOCX,DOTX,DOCB,XLM,XLSX,XLTX,XLSB,XLW,PPT,POT,PPS,PPTX,POTX,PPSX,SLDX和PDF文件。
但是,如果使用'-w'命令行参数启动勒索软件,它将以所有文件类型为目标。支持的其他开关是'-k'和'-m',用于base 64编码和提供电子邮件地址以显示在勒索票据中。
在BleepingComputer的测试中,勒索软件样本使用-w参数自行启动,并为其加密的每个文件生成一个新进程。这导致加密过程非常缓慢。
加密文件时,勒索软件会将.locked扩展名附加到加密文件的文件名上。这意味着名为test.jpg的文件将被加密,然后重命名为test.jpg.locked,如下图所示。

此外,报告表明样本可能不会擦除卷影卷副本,但我们无法确认。
当在计算机上加密数据时,它将在桌面上释放名为README-NOW.txt的赎金票据,其中包括联系CottleAkela@protonmail.com或QyavauZehyco1994@o2.pl电子邮件地址以获取付款说明的说明。

正如所看到的,赎金票据表明恶意软件运营商针对公司,并提供免费解锁一些文件以证明他们拥有解密密钥。
安全研究员MalwareHunterTeam在1月初也看到了LockerGoga的赎金记录,尽管它包含了不同的ProtonMail和O2地址。
We first seen this note (name and content), with different email addresses (but still one ProtonMail & one O2) on 6th evening. From then we seen victims from more than 5 countries. First victim/uploader was from Netherlands…
— MalwareHunterTeam (@malwrhunterteam) January 26, 2019
根据SwitHak的攻击情景,罗马尼亚当地团队注意到了此威胁并在VirusTotal上进行了检查。员工系统上的网络连接和网络共享使得LockerGoga传播到其他国家/地区的办事处,由此解释了从荷兰上传的样本。
#Altran alleged attack timeline based on facts, hypothesis part based on our thoughts. pic.twitter.com/cxBrG8UY84
— SwitHak (@SwitHak) January 26, 2019
当然,这都是猜想,并没有确凿的证据表明事实确实如此。
另一个有趣的信息是勒索软件绰号中的“Goga”是罗马尼亚的姓氏。这个信息花絮加上它首次上传的位置可能会让人怀疑该病毒是否起源于罗马尼亚。
LockerGoga使用有效的证书
McAfee逆向工程师Thomas Roccia的分析表明,LockerGoga具有有效证书的签名,这将增加其在受害者宿主上部署的可能性,而且在大多数情况下不会引起怀疑。

但是,可以看到要求授权证书的Windows警报的某些内容不正确,因为它适用于Windows服务的主机进程,签名来自MIKL Limited。

由Comodo证书颁发机构(由Francisco Partners收购并以其新品牌Sectigo而闻名)签发的代码签署证书已被撤销。
粗略检查显示,MIKL Limited是一家于2014年12月17日在英国注册成立的IT咨询公司。
LockerGoga勒索软件的已知文件样本是“worker”和“worker32”。恶意软件启动一个名称类似于Microsoft用于其Windows服务的名称的进程,例如'svch0st'或'svchub'。
对于那些希望使用Yara检测这一系列感染的人,安全研究员V 编写了first rule,可以帮助机构保护他们的系统免受LockerGoga勒索软件的攻击。
在撰写本文时,我们被告知,Altran Technologies的全球信息系统仍然无法使用。 BleepingComputer与总部位于巴黎的公司联系,提供有关网络攻击影响其运营的更多信息,但目前还未收到回复。
 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载