勒索软件解密情报|Ransomware Decryption Intelligence

勒索软件仍然是通过对受感染网络的未授权访问获利的最有利可图的方法。它是对大小私营和公共部门组织的最大威胁。在过去三年中，我们看到数百家医院以及其他关键基础设施部门组织（例如 Colonial Pipeline 或 JBS food）受到勒索软件的攻击。减缓勒索软件的流行需要多管齐下的方法。虽然这包括逮捕、针对非法加密货币交易的行动、制裁或 – 本博客的主题 – 解密。

通过对勒索软件变体使用的加密实现进行逆向工程，研究人员可以利用密码缺陷来解密勒索软件。这确实可以在不为解密密钥支付赎金的情况下恢复文件。当勒索软件组织最终意识到或通过公开报告了解到他们的勒索软件存在根本性缺陷时，他们通常要么放弃它，要么修复缺陷，要么重新开始品牌重塑。

下面概述了如何解密勒索软件变体的五种情况 ：

场景一

• 研究人员弄清楚如何解密勒索软件变种
• 勒索软件的漏洞通过免费解密工具公开披露
• 受害者可以恢复被具有加密缺陷的勒索软件变种锁定的文件
• 勒索软件运营商注意到漏洞并修复问题（有时在 <24 小时内）
• 勒索软件团伙继续攻击

场景二

• 研究人员弄清楚如何解密勒索软件变种
• 他们通知 LEA、IR 公司、谈判代表、CERT、ISAC 或其他非政府组织
• 使用这些情报共享途径，勒索软件的解密工具可以传递给受害者，他们可以在不支付赎金的情况下恢复他们的文件
• 勒索软件团伙损失了他们本可以从受害者那里获得的解密密钥
• 最终，勒索软件团伙可能会意识到，只有少数受害者为解密密钥支付赎金
• 如果勒索软件团伙修复了加密问题，解密工具就可以公开发布

场景三

• 勒索软件团伙破产或退休并决定为所有受害者免费发布解密密钥
• 研究人员使用这些密钥制作了一个公开且免费的解密工具
• 被勒索软件加密的受害者可以恢复锁定的文件

场景四

• 受害组织受到勒索软件的攻击 
• 勒索软件团伙已经在网络中存在一段时间，并且可以访问受害组织内部的通信 
• 受害者致电 IR 公司以应对勒索软件攻击
• IR 公司让受害者知道可以解密勒索软件 
• 仍在网络中的勒索软件团伙能够拦截受害者与 IR 公司之间的通信
• 勒索软件团伙了解到有一个秘密解密工具可用，因此他们找出问题并修复它 
• 解密工具现已公开 
• 勒索软件团伙继续开展活动，而无需担心解密工具会阻止他们获得赎金（除非勒索软件中存在多个漏洞）

场景五

• 第三方（LEA 或其他）通过拦截获得解密密钥
• 使用获得的解密密钥发布公共和免费解密工具
• 被勒索软件加密的受害者可以恢复锁定的文件

真实案例

2019 年 10 月，研究人员成功对三个版本的恶意软件进行逆向工程并可以解密锁定的文件后，Nemty 勒索软件攻击的受害者可能会感到高兴。几个月后，Nemty 运营商决定于 2020年4 月关闭勒索软件即服务 (RaaS)[Ransomware-as-a-Service (RaaS) ]。 在俄语网络犯罪论坛的帖子中，Nemty 运营商表示他们将关闭并私有化。despite战胜Nemty的勒索软件开发商以后有新的变种，称为Nefilim，针对大型组织的“大狩猎”活动。Nefilim 没有提供解密器，新的研究表明，勒索软件运营商此后再次更名为 Karma 勒索软件。[ 1 , 2 , 3 ]

2021 年 1 月，一组研究人员发现了 DarkSide 解密漏洞，并决定为受害者制作一个免费的公共工具。DarkSide 运营商下载了免费工具，并在不到 24 小时内宣布他们已修补勒索软件中的漏洞。然而，第一批研究人员可能不知道，但其他逆向工程师也知道这个缺陷，并且能够帮助受害者恢复而不会惊动 DarkSide 团伙。不幸的是，在免费解密工具发布并修补密码缺陷几个月后，DarkSide 勒索了殖民地管道，在美国引发了燃料危机。可能存在一种情况，如果当时解密工具没有公开，研究人员本可以协助 FBI 解密 DarkSide，而无需支付赎金，避免燃料危机。[1 , 2 , 3 , 4 ]

2021 年 6 月，Avaddon RaaS 平台背后的组织停止运营并发布了 2934 个解密密钥，据报道每个密钥对应一个特定的受害者。然而，这个数字远高于泄露到 Avaddon 暗网泄漏站点的受害者数量 – 超过 180（来源）。目前尚不清楚 Avaddon 关闭商店的原因，但勒索软件团体突然停止活动的情况并不少见（参见 MAZE、Egregor、GandCrab）。密钥数量与泄露到 Avaddon Tor 站点的受害者数量也凸显出我们对勒索软件活动的可见性是模糊的。拥有暗网泄密博客的 40 个（左右）团体中的每一个也可能发起比泄密数量大得多的活动。[ 1 , 2 , 3 ,4 ]

2021 年 7 月，全球数十家 MSP 使用的远程监控和管理 (RMM) 工具 Kaseya VSA 遭到供应链勒索软件攻击。该 肇事者，被称为雷维尔（或Sodinokibi），负责攻击的要求一$ 70万元赎金，但他们的“幸福博客”暗网泄漏现场公布后不久就消失了。 后来有媒体透露， 据报道，FBI 破坏了该组织的服务器，窃取了主密钥，从而能够解密 Kaseya 攻击的所有受害者以及之前的受害者。然而，REvil 以某种方式发现系统上有入侵者并消失了。不幸的是，联邦调查局（试图破坏或可能抓住 REvil）目前因在 Kaseya 攻击后保留主密钥长达三周而陷入法律困境，这对全球 MSP 及其客户造成了重大业务中断。此后，Kaseya 攻击之前版本的 REvil 解密器已公开可用。[ 1 , 2 , 3 , 4 ]

在一个未公开的场景中，顶级勒索软件系列目前存在密码缺陷并已被研究人员解密，几周以来，研究人员已经能够帮助受害者避免支付赎金，包括关键基础设施领域的受害者。然而，与研究人员合作的受害者的 IR 公司之一谈到了与受害者的解密 – 在受害者的基础设施上 – 仍然受到威胁并由威胁行为者拥有。勒索软件团伙可能发现了解密工具，并再次在 24 小时内更改了勒索软件的代码，使解密变得更加困难，但仍有可能——幸运的是，他们没有了解密码缺陷本身。这个勒索软件组织仍然逍遥法外。

重新命名的勒索软件示例：

• GandCrab → REvil
• BitPaymer → DoppelPaymer → Grief
• WastedLocker → Hades → Phoenix → Macaw
• Maze → Sekhmet → Egregor
• DarkSide → BlackMatter 
• Defray777 → RansomEXX
• MountLocker → AstroLocker → XingLocker
• Babuk → Payload.bin → Groove
• SynACK → El_Cometa
• Prometheus → Spook
• Nemty → Nefilim → Karma

如何分享情报 

发现勒索软件密码学缺陷的研究人员应认真考虑采取情报共享途径，以保密方式告知需要了解可利用漏洞的人。无论如何强调，这是对抗当前勒索软件流行的永无止境的战斗的罕见优势。问题是，并非所有研究人员或逆向工程师都是情报分析师。他们甚至可能不知道他们所发现的内容的含义，例如它可以为受害者节省多少钱，或者他们可以向网络犯罪分子支付多少赎金。 

共享此类情报（勒索软件系列中的密码缺陷）的关键组成部分包括在执法机构 (LEA) 或事件响应公司拥有正确的联系和联系人；将信息提供给合适的人（受害者组织）；情报的及时性（在他们修复缺陷之前）；并安全地传递信息（防止拦截或泄漏）。

如何不分享情报：

我一次又一次看到的一个错误是，发现勒索软件家族中存在密码缺陷的研究人员会在没有警告的情况下公开细节，并在这样做时提醒勒索软件运营商注意这个问题（因为他们在社交网络上媒体也是伙计们）。 尽管研究人员的意思很好，但他们只是放弃了我们在勒索软件活动中的一个优势。问题是，虽然研究人员可能认为他们在发现问题方面非常聪明和有才华，但很可能其他人也发现了它，并且能够有效地为受害者秘密解密它，而不会泄露勒索软件。只是他们没有向社交媒体或通过博客或记者公开披露信息。 一旦运营商修补了勒索软件中的缺陷（或者他们希望破产），那么公开披露该漏洞并公开提供免费解密工具是完全合理的（并且非常有帮助）。

关于这个话题，我的一个值得注意的轶事是，我的一个联系人（在勒索软件事件响应案例中工作）曾经说过，当他们开始与一家新的受害公司进行启动通话时，视频通话会议链接是通过电子邮件发送的（其中勒索软件运营商可以访问），因为他们仍在网络中。一件事导致了另一件事，一名勒索软件操作员参加了会议，并静静地聆听受害组织的 IT 团队和 IR 公司谈论如何处理这种情况。勒索软件运营商随后利用了他们在与受害者协商阶段从电话中获取的这些信息（例如保险单）。因此，受害者和事件响应者应该将有关响应的对话转移到安全的外部通信渠道以避免这种情况。

快速回顾

• 举报勒索软件团伙可能会导致他们迅速解决问题，而受害者将无法避免为解密密钥支付赎金
• 勒索软件是一个十亿美元的产业（来源），我们应该通过解密勒索软件来增加成本
• 如果我们可以避免支付赎金，勒索软件就会变得无利可图 
• 过早发布解密器可能会导致品牌重塑和新活动

结论

• 情报共享非常有益 – 它可以节省受害者并花费勒索软件团伙的钱
• 如果在所有可能的安全研究人员，应该与执法机关，网络安全厂商，其他研究人员的尊重（联系人1，2），证书，ISACS，IR公司，或协商的企业-社会化媒体和公众论坛应该是最后的手段
• 为了应对这种勒索软件的流行，我们需要增加成本并最好停止支付赎金，我们需要让勒索软件尽可能无利可图 
• 在一些罕见的情况下，研究人员应该停止追逐荣耀/影响力，营销/销售/高管需要停止利用关键情报进行广告活动——这可能弊大于利
• 虽然过早披露勒索软件中的缺陷可能被视为情报失败，但能够解密勒索软件的所有先前版本仍然是一种胜利——通常会提醒受害者保留加密文件，因为解密工具可能会在较晚的日期
• 本博客中讨论的相同逻辑适用于勒索软件活动的其他方面 – 例如定位泄露数据的服务器、查找 Tor 站点的真实 IP 地址或查找勒索软件运营商的潜在身份
• 值得记住的最后一件事，就像任何类型的严重和有组织的犯罪一样，让他们花钱很可能会威胁到研究人员自己的生命 

参考

• Emsisoft UniDecrypt（医疗保健免费） –  emsisoft.com/ransomware-decryption-tools
• NoMoreRansom –  nomoreransom.org/en/decryption-tools.html
• 勒索软件工作组 –  securityandtechnology.org/ransomwaretaskforce
• CERT 和 CSIRT 列表 –  twitter.com/i/lists/1309198578515144706
• ISAC 列表 –  twitter.com/i/lists/1309220615359004672
• BleepingComputer论坛-  bleepingcomputer.com/forums/f/239/ransomware-help-tech-support
• ID- ransomware –  id-ransomware.malwarehunterteam.com
• 勒索软件情报链接 –  github.com/BushidoUK/Open-source-tools-for-CTI/blob/master/RansomwareIntel.md

from