比 LockBit 更常见的 STOP 勒索软件获得了更隐蔽的变种

阅读量35834

发布时间 : 2024-03-18 11:08:29

StopCrypt 是 2023 年最常见的勒索软件系列,它有一个利用更先进的规避策略的新变体。

根据趋势科技上周发布的2023 年年度网络安全报告,StopCrypt(也称为 STOP/DJVU)在 2023 年的检测量中超过了 LockBit 勒索软件家族。根据 Chainaanalysis 的年中报告, STOP 通常针对较小的目标,2023 年上半年平均支付赎金金额为 619 美元。

SonicWall周二报道称,新的 StopCrypt 变种在多阶段 shellcode 部署过程中采用了多种规避策略,包括长延迟循环、动态 API 解析和进程空洞,或者将合法可执行文件中的代码替换为恶意代码。

“Msjd”StopCrypt 勒索软件试图躲避防病毒保护

SonicWall 捕获实验室研究的 StopCrypt 变体通过在延迟循环中将相同数据复制到某个位置超过 6500 万次来开始其秘密任务,这可能是为了躲避沙箱等时间敏感的防病毒机制。

然后,它采用动态 API 解析的多个阶段 – 在运行时调用 API,而不是直接链接它们。这可以防止反病毒检测到由恶意软件代码中的静态链接直接 API 调用创建的工件。

在使用 CreateToolHelp32Snapshot 拍摄当前进程的快照、使用 Module32First 提取信息并调用 VirtualAlloc 分配具有读、写和执行权限的内存后,恶意软件进入第二阶段,动态调用其他 API 来执行进程空洞。

Ntdll_NtWriteVirtualMemory 用于将恶意代码写入使用 kernel32_CreateProcessA 创建的挂起进程中。

当暂停的进程恢复时,最终的勒索软件负载会启动 icacls.exe 来修改访问控制列表,以防止修改或删除 StopCrypt 创建的新目录和文件。勒索软件会加密用户的文件并添加扩展名“.msjd”。

SonicWall 研究的变体中发现的勒索软件注释包括 980 美元的索价,如果受害者在 72 小时内联系威胁行为者,则可享受 490 美元的“折扣”优惠。

SonicWall 描述的 STOP 变种与PCrisk 研究人员去年发现的变种有相似之处,该变种最初是通过 VirusTotal 提交的。相似之处包括“.msjd”文件扩展名和勒索信息,其中包括威胁行为者的联系信息。

本文转载自:

如若转载,请注明出处: https://www.scmagazine.com/news/stop-ransomware-more-common-than-lockbit-gains-stealthier-variant

安全客 - 有思想的安全新媒体

分享到:微信
+15赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66