编者按
据报道,DevBitox调整了开源勒索软件,包含一个内置的防御机制,用来检测勒索软件是否在虚拟机内运行,还是在系统上找到调试器和分析软件。这将触发解密器的自动删除功能,基本上不会给任何锁定的文件恢复的机会。
安全研究人员最近发现的一种新型高级定制的勒索软件允许为个别犯罪分子提供“勒索软件服务”。发现勒索软件的研究人员说,即使是低级别的犯罪分子也可以使用勒索软件。
这种勒索软件称为Karmen,犯罪者可以从他们的网络浏览器远程控制勒索软件,从而让攻击者能够通过集中网络仪表板一目了然地观察他们的整个活动。
该仪表板允许攻击者管理受害者电脑,例如追踪他们赚了多少钱。如果金额较少,攻击者就会调整赎金的金额。
“预测未来(Recorded Future)”高级主任Andrei Barysevich说,这是低级别罪犯从事勒索软件的一个“启动包”。
“只要$175,任何会脚本的小孩都可以执行勒索软件攻击,”他在电话中说。
预测未来的研究人员表示,发现勒索软件并在该领域具有商业利益的威胁情报提供商说,Karmen已经从弃用的开源勒索软件Hidden Tear中改编。除了它是开放源码,任何人都可以使用之外,勒索软件本身并不显眼。它做出了承诺:它通过严格的AES-128加密来锁定受害者的文件和磁盘,并要求比特币作为赎金。
但是,Karmen给被弃用的勒索软件增添了现代的概念。
研究人员说,俄罗斯黑客和名为“DevBitox”的开发者是勒索软件的唯一卖家,他们以获取经济利益为目的,创造了基于网络的后端,从而使攻击者更容易赚钱。
每个买家必须建立自己的网络基础架构,其中包括运行MySQL数据库的PHP服务器,允许攻击者远程控制每个感染机器,比如赎金的价格和每个解密的密码。
据报道,DevBitox还调整了开源勒索软件,包含一个内置的防御机制,用来检测勒索软件是否在虚拟机内运行,还是在系统上找到调试器和分析软件。这将触发解密器的自动删除功能,基本上不会给任何锁定的文件恢复的机会。
卖家可能从基本的免费勒索软件上赚了几千美元,而且他们还能够赚更多,Barysevich说。
他还说:“卖家提供一些支持但是是有限的,包括最多三次的文件清理。”Barysevich解释说,买家将收到完整的软件包,包括基于网页的仪表板和用于提供勒索软件的软件,这是一个电子邮件就可以附加的小型12千字节的文件。
但黑客也将为他的产品提供“支持”。因为这些有负载的文件会被防病毒引擎定期检测到,所以每个买家都会获得三次机会。黑客将重建勒索软件,它将隐藏的更好,可以逃避防病毒引擎。
对于更广泛的攻击行动,个人攻击者将需要从卖方购买更多的软件。
据研究人员透露,到目前为止,只有少数买家大概20人买了Karmen,而其中三位买家已经对卖家的个人资料留下了积极的评价,他们的身份并不清楚。
勒索软件的服务降低了犯罪分子进入这个空间的障碍,而且越来越受欢迎。
今年年初,撒旦恶意软件允许低技能犯罪分子通过使用别人的代码执行勒索软件攻击,作为回报,开发人员将接受订阅付款。勒索软件开发人员可以轻松地获得30%的收入回报。
2016年,勒索软件激增,一年获利超过10亿美元。
