歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

新的LockerGoga勒索軟件用于Altran攻擊

來源:本站整理 作者:佚名 時間:2019-02-01 TAG: 我要投稿

黑客利用惡意軟件感染了Altran Technologies的系統,并通過公司網絡傳播,影響了一些歐洲國家的運營。為了保護客戶數據和自己的資產,Altran決定關閉其網絡和應用程序。
這次攻擊發生在1月24日,但法國工程咨詢公司昨天才公布了一份公開聲明,并將細節保持在最低限度,聲稱第三方技術專家和數字取證專家正在審理此案。
為了保護我們的客戶,員工和合作伙伴,我們立即關閉了我們的IT網絡和所有應用程序。客戶和數據的安全性始終是我們的首要任務。我們已經動員了全球領先的第三方技術專家和取證專家,我們與他們一起進行的調查沒有發現任何被盜取的數據,也沒有發現此事件傳播給客戶。
一、Altran遭遇了新的LockerGoga勒索軟件
Altran沒有提到影響其網絡的惡意軟件的類型,但是安全研究人員跟蹤了公共breadcrumbs的蹤跡,已經發現了足夠的證據來確定它是一種勒索軟件攻擊。
針對Altran的網絡攻擊首次公開提及是1月25日發布的一條推文,此推文收到了計算機安全研究員的回復,他暗示上傳到VirusTotal的惡意軟件樣本(malware sample)是攻擊的幕后黑手。
(link: https://t.co/udeToPYHPo) https://t.co/17btK8Kc6g…
— V (@vxsh4d0w) January 25, 2019
此樣本的初始VirusTotal檢測率為26/69,但該文件很快被其他防病毒引擎選中,現在它被VirusTotal上的43個產品識別為惡意軟件。
此樣本于1月24日首次從羅馬尼亞上傳至VirusTotal,當天晚些時候又從荷蘭添加。
如果上傳到谷歌掃描服務的文件與攻擊Altran計算機的文件相同,那么它就是一個名為LockerGoga的勒索軟件。此勒索軟件的名稱基于用于將源代碼編譯為可執行文件的路徑,由MalwareHunterTeam發現。
X:\work\Projects\LockerGoga\cl-src-last\cryptopp\src\rijndael_simd.cpp
當BleepingComputer測試勒索軟件時,我們發現它非常慢,這是由于每次加密文件時它都衍生另外一個進程。當與一位名叫Valthek的安全研究人員討論這個問題時,BleepingComputer被告知該代碼很草率很緩慢,并且沒有盡力規避檢測。
根據安全研究SwitHak,執行時勒索軟件通常會針對DOC,DOT,WBK,DOCX,DOTX,DOCB,XLM,XLSX,XLTX,XLSB,XLW,PPT,POT,PPS,PPTX,POTX,PPSX,SLDX和PDF文件。
但是,如果使用'-w'命令行參數啟動勒索軟件,它將以所有文件類型為目標。支持的其他開關是'-k'和'-m',用于base 64編碼和提供電子郵件地址以顯示在勒索票據中。
在BleepingComputer的測試中,勒索軟件樣本使用-w參數自行啟動,并為其加密的每個文件生成一個新進程。這導致加密過程非常緩慢。
加密文件時,勒索軟件會將.locked擴展名附加到加密文件的文件名上。這意味著名為test.jpg的文件將被加密,然后重命名為test.jpg.locked,如下圖所示。

此外,報告表明樣本可能不會擦除卷影卷副本,但我們無法確認。
當在計算機上加密數據時,它將在桌面上釋放名為README-NOW.txt的贖金票據,其中包括聯系[email protected][email protected]電子郵件地址以獲取付款說明的說明。

正如所看到的,贖金票據表明惡意軟件運營商針對公司,并提供免費解鎖一些文件以證明他們擁有解密密鑰。
安全研究員MalwareHunterTeam在1月初也看到了LockerGoga的贖金記錄,盡管它包含了不同的ProtonMail和O2地址。
We first seen this note (name and content), with different email addresses (but still one ProtonMail & one O2) on 6th evening. From then we seen victims from more than 5 countries. First victim/uploader was from Netherlands…
— MalwareHunterTeam (@malwrhunterteam) January 26, 2019
根據SwitHak的攻擊情景,羅馬尼亞當地團隊注意到了此威脅并在VirusTotal上進行了檢查。員工系統上的網絡連接和網絡共享使得LockerGoga傳播到其他國家/地區的辦事處,由此解釋了從荷蘭上傳的樣本。
#Altran alleged attack timeline based on facts, hypothesis part based on our thoughts. pic.twitter.com/cxBrG8UY84
— SwitHak (@SwitHak) January 26, 2019
當然,這都是猜想,并沒有確鑿的證據表明事實確實如此。
另一個有趣的信息是勒索軟件綽號中的“Goga”是羅馬尼亞的姓氏。這個信息花絮加上它首次上傳的位置可能會讓人懷疑該病毒是否起源于羅馬尼亞。
LockerGoga使用有效的證書
McAfee逆向工程師Thomas Roccia的分析表明,LockerGoga具有有效證書的簽名,這將增加其在受害者宿主上部署的可能性,而且在大多數情況下不會引起懷疑。

但是,可以看到要求授權證書的Windows警報的某些內容不正確,因為它適用于Windows服務的主機進程,簽名來自MIKL Limited。

由Comodo證書頒發機構(由Francisco Partners收購并以其新品牌Sectigo而聞名)簽發的代碼簽署證書已被撤銷。
粗略檢查顯示,MIKL Limited是一家于2014年12月17日在英國注冊成立的IT咨詢公司。
LockerGoga勒索軟件的已知文件樣本是“worker”和“worker32”。惡意軟件啟動一個名稱類似于Microsoft用于其Windows服務的名稱的進程,例如'svch0st'或'svchub'。
對于那些希望使用Yara檢測這一系列感染的人,安全研究員V 編寫了first rule,可以幫助機構保護他們的系統免受LockerGoga勒索軟件的攻擊。
在撰寫本文時,我們被告知,Altran Technologies的全球信息系統仍然無法使用。 BleepingComputer與總部位于巴黎的公司聯系,提供有關網絡攻擊影響其運營的更多信息,但目前還未收到回復。
 

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺 现在开什么公司赚钱的 开心棋牌游戏平台 真人龙虎斗游戏 浙江十一选五开奖结 pk10赛车计划软件手机苹果 欢乐拼三张怎么赚钱 波克棋牌手机完整版下载 时时彩大小单双稳赚买法 能提现的棋牌 梦幻西游109lg怎么赚钱 3d技巧规律准确率高 财神捕鱼128 老公会赚钱又顾家 老师还可以怎么兼职赚钱 打几份工努力赚钱 pk10冠军挂机模式