BlackRouter/Gandcrab等勒索软件即服务(RaaS)的推广和运营之道

好消息好消息，年末大促销，现在加入我们RaaS,代理分发勒索软件，开发商只要20%，其他统统归代理商，赶紧加入吧！

勒索软件即服务（Ransomware-as-a-Service，RaaS）

在过去的几年里，恶意软件作者将其专有技术封装打包成昂贵的攻击套装并在地下市场上进行销售，网络犯罪分子购买恶意软件，在感染受害者电脑前首先得支付高额的前期成本。

勒索软件正在悄然改变恶意软件作者和网络犯罪分子的交互方式。加密货币的存在使得勒索软件作者无需提前收费，而只需从成功的犯罪赎金中进行抽成即可，这也将大大增加勒索软件势力范围的扩张。

近期最新公开招募成员的RaaS为

BlackRouter勒索软件，曾因捆绑AnyDesk进行分发而一战成名(2018)

AnyDesk:一款远程桌面控制软件，类似teamviewer

其被运行后会释放两个文件，一个为旧版本的AnyDesk，一个为勒索软件本身。类似白利用。

加密后的文件名为

.BlackRouter

勒索信息文本路径

{All Drives}:\ReadME-BlackRouter.txt

%Desktop%\ReadME-BlackRouter.txt

hash:

a85173ef5572f316df839e63b4e1526e97e5f123ae73f898b872baa6a5a9711f

相关链接

https://blog.trendmicro.com/trendlabs-security-intelligence/legitimate-application-anydesk-bundled-with-new-ransomware-variant/

而最新版本的BlackRouter则改变了勒索界面UI (2019年)

hash:

1f15a3e297b9017c40276ad1c32d606c8beebbf432227b47360f3674bfb60127

并且代码中添加了向telegram发送信息的部分

代码中还带有步骤一步骤二得文本，真够贵的，为什么是付给两个钱包地址，不懂。

最黑心的是，软件内置计数器，其赎金会随着日期增加而增长，直至10K美元。

而这款勒索软件于近日被伊朗黑客在Telegram中进行推广RaaS服务，加入该RaaS并分发BlackRouter的人可以获得赎金的80%，其余20%归于BlackRouter的开发者。

此外，该黑客还会分发名为BlackRAT 的远控

BlackRat的功能包括加密通信、逃避检测、启用RDP、配置挖矿软件、键盘记录、窃取加密货币钱包等。

BlackRouter目前尚未存在大规模传播的案例。

类似的案例还有Kraken勒索软件

其分支成员每隔15天就可以更新一个版本，以确保payload不会被反病毒软件检测到。

当受害者请求免费的解密测试时，分支成员每隔一段时间会发送受害者的文件和对应的密钥到Kraken Cryptor勒索软件的支持服务。

该服务会解密文件并发送给分支成员，然后分支成员再转发给用户。

受害者在支付了所有赎金之后，分支成员发送收到的赎金百分比到RaaS开发者来获取解密key，然后分支成员再转发给受害者。

还有大名鼎鼎的Gandcrab勒索软件的RaaS招募成员通告

下面是广告的一些有趣点：

1、买家被要求加入“合作伙伴计划”，其中勒索软件的利润分成60:40

2、大型合作伙伴能够将其收益百分比提高到70％

3、作为勒索软件即服务产品，为“合作伙伴”提供技术支持和更新

4、禁止合作伙伴针对独立国家联合体（阿塞拜疆，亚美尼亚，白俄罗斯，哈萨克斯坦，吉尔吉斯斯坦，摩尔多瓦，俄罗斯，塔吉克斯坦，土库曼斯坦，乌兹别克斯坦和乌克兰）的国家/地区 - 违反此规则会导致帐户被删除

5、合作伙伴必须申请使用勒索软件，并且提供的席位数量有限。

GandCrab RaaS的作者还为其成员提供技术支持和更新，他们还发布了一个视频教程，显示勒索软件如何能够避免防病毒检测。

https://youtu.be/nUmisgYCeDU

然后还有前些日子被美国曝光通缉的Satan作者:伊朗黑客两名

以下为具体模式

Satan的开发者设置了一个网站，允许用户生成自己的Satan变种，他们可以使用自己的方法进行软件投放，可以指定他们想要的赎金所对应的比特币数量。他们可以创建任意多数量的变种，可以很容易地监测通过该网站被感染和支付赎金的受害者状态。Satan开发者将从受害者所支付的赎金中抽成30%作为回报。

用户在网站上注册和登陆后，将被转到主页面，在填写必要表单信息后就可以制作Satan变种，该页面同时还显示变种的感染及赎金获取状态报告。

变种创建完毕后，用户可以从页面底部的下载区域下载该变种。

还有更加详细的图，具体可以看这篇翻译：

https://www.anquanke.com/post/id/85457

之后还有案例会继续补充。

BlackRouter  ioc:

1f15a3e297b9017c40276ad1c32d606c8beebbf432227b47360f3674bfb60127

a85173ef5572f316df839e63b4e1526e97e5f123ae73f898b872baa6a5a9711f

更多APT资讯，尽在知识星球，点击下面链接即可加入

欢迎点击查看，预览仅为部分内容，支持索引搜索等功能

你点的每个赞，我都认真当成了喜欢