聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士
网络安全公司 Security Joes 的高级威胁情报分析师 Tom Malka 表示,上周末,勒索软件 Paradise 的 .NET 版本被泄露。
该勒索软件代码分享在俄语论坛 XSS 上,是继2020年初 Dharma 代码被泄露后,源代码遭泄露的第二个主流勒索软件。被泄露文件的真实性已得到恶意软件分析师 Bart Blaze 和 MalwareHunterTeam 的验证和证实,他们此前曾分析过多款 Paradise 勒索活动。
Paradise 勒索软件简史
勒索软件 Paradise 首先现身于2017年9月,它被通过经典的勒索软件即服务出租给网络犯罪团伙。
威胁行动者将申请 Paradise RaaS,之后收到特定的 app 即构建工具,以构建自定义的 Paradise 勒索软件版本,之后通过垃圾邮件和其它方式传播给受害者。
虽然近年来我们已经习惯于勒索软件团伙攻击高价值企业、追逐大额支付,但 Paradise 勒索软件主要还是攻击家庭客户和规模更小的企业。Paradise RaaS 追逐小笔勒索付款,被视作犯罪团伙实施勒索的入口点,他们将以此攻击终端消费者和小型企业,之后转向更专业的 RaaS 服务攻击大型企业。
Paradise RaaS 已运行多年,不断发布新版本,包括仅用于2019年和2020年的 .NET 版本。2019年,它首次实施主要攻击,当时安全企业 Emsisoft 发布免费的解密工具,使受害者无需支付赎金久可解密文件。Paradise 操纵者后续虽然发布了新版本,但安全公司 Bitdefender 在2020年1月即其发布几个月后公布了解密工具。至此之后,研究人员发现每周的Paradise RaaS 活动数量在减少。
2020年3月,Paradise 通过新型垃圾邮件活动使用 IQY 文件传播,但自此之后 Paradise payload 就很少见,最后一次的公开样本现身于今年1月份。
网络安全公司 SonicWall 还报道称发现新型勒索软件版本 Cukiesi,据称是 Paradise 老旧版本的更新版,但该变体并未存活太久。当前,每周仍然有少量受害者遭攻击。MalwareHunterTeam 指出,ID-Randomware 服务在过去一个月中仅仅提交了两次,这表明该项目已被抛弃或者更多地在使用原生版本——和 .NET 版本相比,原生编码的勒索软件在加密文件时速度更快。
Builder 遭泄露
上周末遭泄露的 Paradise 代码是其 .NET 版本的源代码,更确切地说是 builder 和解密工具的源代码遭泄露。
Paradise 勒索软件的 builder 遭泄露值得注意,尽管它只是使用较少的 .NET 版本。
Blaze 指出,通过 ID-Ransomware 服务上传和验证的Paradise 勒索软件样本被归于不可解密类别。由于源代码被泄露且无法解密,因此无法排除某些威胁行动者会借机利用,即使它不如 Paradise RaaS 原生版本那样好用。
推荐阅读
详细分析开源软件 ExifTool 的任意代码执行漏洞 (CVE-2021-22204)
原文链接
https://therecord.media/source-code-for-paradise-ransomware-leaked-on-hacking-forums/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
扫一扫
227
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
