[[424021]]

近期發(fā)現(xiàn)四個新興勒索軟件組織：AvosLocker、Hive、HelloKitty、LockBit 2.0。它們活動頻繁，未來可能造成更大的影響。

• AvosLocker于6月底開始活動，其標(biāo)志性圖標(biāo)為藍(lán)色甲蟲;
• Hive是一種雙重勒索勒索軟件，于6月份開始活動，目前已經(jīng)影響了28家組織;
• HelloKitty最早可追溯到2020年，主要針對Windows系統(tǒng)，在今年7月份，HelloKitty的Linux變體開始針對VMware的ESXi hypervisor;
• LockBit 2.0與一些引人注目的攻擊事件有關(guān)，影響了多個行業(yè)，目前已有52名受害者，接下來本文將會對這些勒索軟件進(jìn)行詳細(xì)分析。

AvosLocker

AvosLocker是一種全新的勒索軟件，于2021年7月4日首次被發(fā)現(xiàn)，其遵循RaaS模型，同名勒索軟件運(yùn)營商avos在暗網(wǎng)發(fā)布了廣告，內(nèi)容包括勒索軟件功能等信息。

AvosLocker在執(zhí)行時首先打開一個Windows shell，顯示加密過程的進(jìn)度。加密完成后會將.avos擴(kuò)展名附加到加密文件中，并在每個加密目錄中放置贖金便箋GET_YOUR_files_BACK.TXT。

加密后文件：

AvosLocker TOR網(wǎng)站：

提交ID后，受害者將被索取贖金，贖金最低50000美元，最高75000美元。與其他勒索軟件組一樣，如果受害者沒有在指定時間內(nèi)支付，AvosLocker會提高勒索價格。

目前他已經(jīng)影響了七個組織：兩個律師事務(wù)所，一個在英國，一個在美國;西班牙的一家物流公司;比利時的一家房地產(chǎn)公司;土耳其的一家公司;敘利亞交通組織和一個美國城市。

Hive

Hive勒索軟件于2021年6月開始運(yùn)營，攻擊的組織包括醫(yī)療服務(wù)提供商和一些中型組織，這些組織缺乏抵御勒索軟件攻擊的能力。Hive網(wǎng)站上公布了28名受害者，其中包括一家歐洲航空公司和三家美國機(jī)構(gòu)，硬件零售、制造和法律部門。

勒索軟件執(zhí)行時，它會下載兩個批處理腳本，hive.bat嘗試刪除自身，第二個腳本shadow.bat負(fù)責(zé)刪除系統(tǒng)的卷副本。Hive ransomware將[Randomic characters].Hive擴(kuò)展添加到加密文件中，并留下名為HOW_to_DECRYPT.txt的勒索說明。

贖金通知中提供的登錄憑據(jù)是針對特定受害者的。登錄后，受害者可與Hive組織交談并獲取解密程序。

HelloKitty

HelloKitty于2020年底首次出現(xiàn)，主要針對Windows系統(tǒng)。2021年7月，發(fā)現(xiàn)了一個名為fully_Linux.ELF的Linux(ELF)示例，可追溯到2020年10月，從今年3月開始，樣本開始瞄準(zhǔn)ESXi。

六家受Hello Kitty影響的機(jī)構(gòu)，包括意大利和荷蘭制藥機(jī)構(gòu)、一家德國制造商、一家澳大利亞工業(yè)自動化解決方案機(jī)構(gòu)、一家美國醫(yī)療機(jī)構(gòu)和一家股票經(jīng)紀(jì)人。贖金爭論高達(dá)1000萬美金，最低95萬美金，同時支持BTC支付。

Linux HelloKitty勒索軟件參數(shù)：

LockBit 2.0

LockBit遵循RaaS模型，自2019年9月開始活躍，最近升級到了LockBit 2.0。自2021年6月以來，他們在阿根廷、澳大利亞、奧地利、比利時、巴西、德國、意大利、馬來西亞、墨西哥、羅馬尼亞、瑞士、英國和美國進(jìn)行勒索活動。官網(wǎng)會有受害者文件解密發(fā)布倒計(jì)時，從而給所有受害者施壓。

攻擊者聲稱他們的軟件是就目前運(yùn)行最快的加密軟件。

執(zhí)行LockBit時，它開始加密文件并附加.LockBit擴(kuò)展名，將加密文件的圖標(biāo)更改為LockBit 2.0徽標(biāo)，加密完成后留下名為Restore-My-Files.txt的贖金說明。

如果加密成功，LockBit 2.0勒索軟件會修改受害者的桌面壁紙：

官網(wǎng)受害者登錄界面：

IOC

(1) AvosLocker

43b7a60c0ef8b4af001f45a0c57410b7374b1d75a6811e0dfc86e4d60f503856

fb544e1f74ce02937c3a3657be8d125d5953996115f65697b7d39e237020706f

3984968230c96d52d78af1905ea1b224e7de36776a6af398a0462321f3c22020

01792043e07a0db52664c5878b253531b293754dc6fd6a8426899c1a66ddd61f

(2) Hive Ransomware

A0b4e3d7e4cd20d25ad2f92be954b95eea44f8f1944118a3194295c5677db749

1e21c8e27a97de1796ca47a9613477cf7aec335a783469c5ca3a09d4f07db0ff

Fdbc66ebe7af710e15946e1541e2e81ddfd62aa3b35339288a9a244fb56a74cf

88f7544a29a2ceb175a135d9fa221cbfd3e8c71f32dd6b09399717f85ea9afd1

(3) Hello Kitty (Linux)

16a0054a277d8c26beb97850ac3e86dd0736ae6661db912b8782b4eb08cfd36e

556e5cb5e4e77678110961c8d9260a726a363e00bf8d278e5302cb4bfccc3eed

9f82f22c137688d0b3e7912d415605d2bbc56478311fd0b3dc265f8d0006aa8c

8f3db63f70fad912a3d5994e80ad9a6d1db6c38d119b38bc04890dfba4c4a2b2

bedf30bbcefc54bc48432674255856f47c0ba2ec46e913d078a53e66ac9dcff8

Ca607e431062ee49a21d69d722750e5edbd8ffabcb54fa92b231814101756041

b4f90cff1e3900a3906c3b74f307498760462d719c31d008fc01937f5400fb85

(4) Lockbit 2.0

F32e9fb8b1ea73f0a71f3edaebb7f2b242e72d2a4826d6b2744ad3d830671202

4de287e0b05e138ab942d71d1d4d2ad5fb7d46a336a446f619091bdace4f2d0a

F3e891a2a39dd948cd85e1c8335a83e640d0987dbd48c16001a02f6b7c1733ae

Ea028ec3efaab9a3ce49379fef714bef0b120661dcbb55fcfab5c4f720598477

Bcdb59232137e570d4afb3c635f8df19ceb03e3f57fe558f4fc69a0be778c6ab

原文鏈接：unit42