RansomHouse完成加密工具升級(jí)：采用多層數(shù)據(jù)處理技術(shù)

RansomHouse勒索軟件即服務(wù)（RaaS）近期完成了加密工具的升級(jí)，將原本相對(duì)簡(jiǎn)單的單階段線(xiàn)性加密技術(shù)，替換為更復(fù)雜的多層加密方法。

實(shí)際應(yīng)用中，此次升級(jí)帶來(lái)了更強(qiáng)的加密效果、更快的加密速度，以及在現(xiàn)代目標(biāo)環(huán)境中更穩(wěn)定的運(yùn)行表現(xiàn)，讓威脅組織在加密完成后的談判環(huán)節(jié)擁有更大的籌碼。

RansomHouse于2021年12月以數(shù)據(jù)勒索網(wǎng)絡(luò)犯罪組織的形式成立，后續(xù)在攻擊中引入了加密工具，并開(kāi)發(fā)出名為MrAgent的自動(dòng)化工具，可同時(shí)鎖定多臺(tái)VMware ESXi虛擬機(jī)監(jiān)控程序。

此前有報(bào)道稱(chēng)，該威脅組織曾針對(duì)日本電商巨頭Askul公司，同時(shí)使用了多款勒索軟件家族的工具發(fā)起攻擊。

根據(jù)研究人員發(fā)布的新報(bào)告顯示，最新的加密工具變種代號(hào)為“Mario”。

新型“Mario”加密工具

RansomHouse的這款最新加密工具變種，將原本的單輪文件數(shù)據(jù)轉(zhuǎn)換方式，改為基于雙密鑰的兩階段轉(zhuǎn)換方式——分別使用一個(gè)32字節(jié)的主密鑰與一個(gè)8字節(jié)的副密鑰。

該方式提升了加密的熵值，增加了部分?jǐn)?shù)據(jù)恢復(fù)的難度。

Mario生成兩個(gè)加密密鑰

第二項(xiàng)重要升級(jí)是引入了新的文件處理策略：以8GB為閾值設(shè)置動(dòng)態(tài)數(shù)據(jù)塊大小，同時(shí)采用間歇式加密。

由于該策略具備非線(xiàn)性特征、通過(guò)復(fù)雜算法確定處理順序，且會(huì)根據(jù)文件大小采用不同的處理方式，靜態(tài)分析的難度被大幅提升。

Mario的另一項(xiàng)值得關(guān)注的升級(jí)是優(yōu)化了內(nèi)存布局與緩沖區(qū)組織方式，同時(shí)提升了復(fù)雜度：現(xiàn)在每個(gè)加密階段或功能模塊都有獨(dú)立的專(zhuān)用緩沖區(qū)。

最后，與僅會(huì)聲明任務(wù)完成的舊版本相比，升級(jí)后的加密工具會(huì)輸出更詳細(xì)的文件處理信息。

該新型變種仍以虛擬機(jī)文件為攻擊目標(biāo)，會(huì)將加密后的文件重命名為帶.emario后綴的格式，并在所有受影響的目錄中留下勒索信《How To Restore Your Files.txt》。

最新RansomHouse變種掉落的贖金信

RansomHouse的加密工具升級(jí)情況令人擔(dān)憂(yōu)，這標(biāo)志著“勒索軟件發(fā)展的危險(xiǎn)趨勢(shì)”：解密難度有所提升，靜態(tài)分析與逆向工程的難度也進(jìn)一步加大。

RansomHouse是運(yùn)營(yíng)時(shí)間較長(zhǎng)的RaaS平臺(tái)之一，但攻擊規(guī)模仍處于中等水平。其持續(xù)開(kāi)發(fā)高級(jí)工具的行為，表明該組織采取了更注重攻擊效率與規(guī)避檢測(cè)、而非擴(kuò)大攻擊規(guī)模的策略，對(duì)于人們來(lái)說(shuō)更需警惕對(duì)待。

參考及來(lái)源：https://www.bleepingcomputer.com/news/security/ransomhouse-upgrades-encryption-with-multi-layered-data-processing/