导语:GandCrab是一种勒索软件即服务恶意软件,由一个高水平的犯罪组织管理,该组织正在进行一场迅速演变的勒索软件活动。通过他们激进的,虽然不寻常的营销策略和不断招募子公司,以至于该软件能够在全球分发大量的恶意软件。
GandCrab勒索病毒是一种广泛使用的加密病毒,自2018年1月以来一直活跃在攻击第一线,目前恶意软件已经出现多种攻击性变种,包括 .GDCB,.KRAB,.CRAB,GandCrab 2,GandCrab 3,GandCrab 4,GandCrab v4.1,GanCrab v4.1.2和GanCrab v5(包括GandCrab 5.0.1,GandCrab 5.0.2,GandCrab 5.0.3,GandCrab 5.0.4,GandCrab 5.0.5,GandCrab 5.0.6和2019年4月发现的GandCrab 5.3)。在这么短短的两年时间里,GandCrab经历了很多版本的更新迭代,传播感染多式也发生了很多变化,使用的技术也不断升级。不过有一点似乎没变,就是各个版本的GandCrab都采用了RSA+salsa20相结合的加密算法,导致加密后的文件,无法被解密。
按着以上所说的发展趋势,GandCrab还会再进行迭代,攻击趋势也将愈加猛烈!但就在6月初,恶意软件操作GandCrab背后的威胁组织却突然宣布他们已终止对该病毒的更新。在此之前,就传播速度和快速发展而言,GandCrab一直是过去一年中最活跃的恶意软件活动之一。
威胁组织声称,他们的“勒索即服务”(RaaS)运营收入总计20亿美元。但由于其子公司占了收入的大部分比例(60%-40%,在某些情况下为70%-30%),所以看似这个业务很赚钱,但他们声称自己只从其业务中赚取了1.5亿美元。基于投入产出的考量,该组织还是停止了研发GandCrab的业务。
GandCrab被停止更新的通知
具体情况分析
GandCrab于2018年1月28日首次出现在俄罗斯黑客论坛exploit.in上,当时文件加密恶意软件的传播速度和影响力似乎正在下降。尽管如此,GandCrab仍能发挥重要作用,仅在出现后的第一个月就感染了5万多名受害者。
另外,它们出名的一个原因是,它们是第一个只接受DASH加密货币作为赎金支付的犯罪组织,尽管后来幕后开发者还是决定接受其他加密货币。开发者还使用集中式DNS服务器(a.dnspod.com)使用.BIT TLD托管其C2,该服务器名义上声称可镜像Namecoin的命名空间。虽然.BIT通常与NameCoin组织的分散DNS项目相关,但GandCrab与NameCoin的关系后来被该组织揭穿。
GandCrab在俄罗斯论坛exploit.in的广告
传播过程
GandCrab积极的传播速度网络是通过其会员计划以及与其他服务(例如二进制加密程序NTCrypt)和其他具有RDP和VNC传播速度经验的参与者的合作伙伴关系而建立的。起初,他们只针对西方国家,主要是拉丁美洲。后来,他们扩展到与中国和韩国的恶意软件传播速度商合作,直到去年四月,研究人员才发现了针对韩国的GandCrab有效载荷的垃圾邮件活动。
GandCrab异常但可能有效的营销策略
由于GandCrab的飞速发展,FortiGuard 实验室还和其他安全研究人员一直在积极地监控版本之间的变化。除新功能外,这些功能还包括通过异常但可能有效的营销策略进行传播,攻击者将其嵌入二进制文件中,以混淆研究人员和安全组织的分析。这种做法会制造了一些反分析时的噪音,这可能使它们成为去年被报道最多、谈论最多的勒索软件家族之一。这一不同寻常的战略显示了一种几乎空前的犯罪虚张声势,甚至是一种不可战胜的感觉,因为他们能够不受任何影响地发布扰乱安全社区的公开声明。
开发者嵌入的嘲讽研究人员和组织的消息
在另一个不同寻常的营销策略中,GandCrab的开发者们还利用安全公司的报告来宣传他们服务的成功,同时嘲笑他们的对手。
使用来自安全公司的报告作为GandCrab很牛叉的广告
快速的发展过程
GandCrab成功的部分原因在于他们使用了敏捷的开发方法,从而可以快速发布新版本。这在我们有关GandCrab v4.x开发的文章中得到了最好的描述。关于GandCrab开发的完整时间表的详细讨论也可以在我们的AVAR2018:GandCrab Mentality演示文稿中找到。
GandCrab v4.0-v4.4的时间发展线
GandCrab销声匿迹的过程
快速的版本迭代,使他们能够成功逃避许多安全公司的检测。一个很好的例子是,Ahnlab发布了一种有针对性的工具,通过创建一个在执行加密程序之前被恶意软件检查过的文件,来防止恶意软件在系统中执行。这引发了两家公司之间的针锋相对,甚至导致攻击者披漏了针对Ahnlab产品的拒绝服务攻击的POC。
然而,GandCrab也不例外,在快速开发期间,也没有怎么考虑产品的安全性,产品也越来越糙,因为在公开的版本中,研究人员就发现了许多错误代码和漏洞。例如,在恶意软件的早期版本中,他们使用硬编码的RC4密钥来加密他们的出站流量,其中也包含私钥,这样就可以解密受害者的勒索文件。另一个简单但严重的漏洞是在生成RSA密钥时没有设置标记。这导致私钥的副本被存储在受害者的系统上
但是,也许他们最大的不幸(我们认为最终导致了他们的销声匿迹)是他们服务器端基础架构被破坏了,这导致了受害者私钥的泄漏。在GandCrab开始运作一个月后,BitDefender就与欧洲刑警组织合作,为GandCrab v1的受害者发布了免费的解密工具。当时,关于他们是如何做到这一点的信息非常有限,至少在勒索软件作案者自己宣布他们的付款页面已经被攻破之前是如此,我们怀疑这导致了解密工具的创建。
GandCrab在他们的付款页面上发布了关于这个漏洞的帖子
我们认为,类似的漏洞最终导致了解密工具的发布,该工具用于解密被新版本恶意软件加密的文件。事实上,就在GandCrab被宣布停止更新后的两周后,BitDefender就发布了一个新版本的解密工具,该工具支持破解最新版本(v5.2)的恶意软件。
总结
GandCrab是一种勒索软件即服务恶意软件,由一个高水平的犯罪组织管理,该组织正在进行一场迅速演变的勒索软件活动。通过他们激进的,虽然不寻常的营销策略和不断招募子公司,以至于该软件能够在全球分发大量的恶意软件。
但是, 鉴于投入产出比,GandCrab团队已经不再开发该软件了。但是,考虑到这个威胁组织在整个开发和营销过程中显示出的能力,这份停止运行的公告可能只是他们的营销手段之一。因此,研究人员猜测,它们今后有可能以另一种形式重新出现。