RansomHouse勒索软件即服务(RaaS)近期完成了加密工具的升级,将原本相对简单的单阶段线性加密技术,替换为更复杂的多层加密方法。
实际应用中,此次升级带来了更强的加密效果、更快的加密速度,以及在现代目标环境中更稳定的运行表现,让威胁组织在加密完成后的谈判环节拥有更大的筹码。
RansomHouse于2021年12月以数据勒索网络犯罪组织的形式成立,后续在攻击中引入了加密工具,并开发出名为MrAgent的自动化工具,可同时锁定多台VMware ESXi虚拟机监控程序。
此前有报道称,该威胁组织曾针对日本电商巨头Askul公司,同时使用了多款勒索软件家族的工具发起攻击。
根据研究人员发布的新报告显示,最新的加密工具变种代号为“Mario”。
RansomHouse的这款最新加密工具变种,将原本的单轮文件数据转换方式,改为基于双密钥的两阶段转换方式——分别使用一个32字节的主密钥与一个8字节的副密钥。
该方式提升了加密的熵值,增加了部分数据恢复的难度。
Mario生成两个加密密钥
第二项重要升级是引入了新的文件处理策略:以8GB为阈值设置动态数据块大小,同时采用间歇式加密。
由于该策略具备非线性特征、通过复杂算法确定处理顺序,且会根据文件大小采用不同的处理方式,静态分析的难度被大幅提升。
Mario的另一项值得关注的升级是优化了内存布局与缓冲区组织方式,同时提升了复杂度:现在每个加密阶段或功能模块都有独立的专用缓冲区。
最后,与仅会声明任务完成的旧版本相比,升级后的加密工具会输出更详细的文件处理信息。
该新型变种仍以虚拟机文件为攻击目标,会将加密后的文件重命名为带.emario后缀的格式,并在所有受影响的目录中留下勒索信《How To Restore Your Files.txt》。
最新RansomHouse变种掉落的赎金信
RansomHouse的加密工具升级情况令人担忧,这标志着“勒索软件发展的危险趋势”:解密难度有所提升,静态分析与逆向工程的难度也进一步加大。
RansomHouse是运营时间较长的RaaS平台之一,但攻击规模仍处于中等水平。其持续开发高级工具的行为,表明该组织采取了更注重攻击效率与规避检测、而非扩大攻击规模的策略,对于人们来说更需警惕对待。
参考及来源:https://www.bleepingcomputer.com/news/security/ransomhouse-upgrades-encryption-with-multi-layered-data-processing/
热门跟贴