Norsk Hydro勒索事件背后的迷雾

研究人员仍然在寻找LockerGoga勒索软件最初感染的方法，以及背后攻击者的真正目的。

上周导致挪威海德鲁公司（Norsk Hydro）瘫痪的恶意软件LockerGoga，已经在工业界掀起一场风暴，目前，研究人员正在竞相揭开更多导致这家铝业巨头几家工厂陷入瘫痪的神秘勒索软件的更多信息。

关于恶意软件如何开始感染其目标系统，谁是幕后主使以及他们想要什么仍然是个谜团。但有一件事，研究人员可以达成共识，那就是看似不成熟的LockerGoga，其开发人员正在积极增加功能，更倾向于纯粹的破坏攻击目标。

“我们知道这种勒索软件造成了重大损害，”Unit 42的研究人员Mike Harbison在周二的一篇文章中说。“如果攻击者继续改进这种勒索软件，以后的危害可能会大大增加。”

前言

LockerGoga上周在针对Norsk Hydro攻击之后成为头条新闻，其迫使该公司关闭或隔离了数家工厂，并将其他几家工厂转为手动模式。根据该公司的最新消息，该事件迄今为止花费了挪威海德鲁公司至少4000万美元。

但勒索软件在此事件披露之前就已存在，早在1月24日就在针对工程咨询公司Altran的一次攻击中被发现，该公司在一份声明中表示，它受到了一次网络攻击，影响了“一些欧洲国家”的业务。

据报道，另外两家制造企业Hexion和Momentive也受到了勒索软件的打击。到目前为止，Palo Alto Network的研究人员表示，他们已经识别出31个勒索软件样本，这些样本的行为和代码与最初的变种相似。

“LockerGoga是这类恶意软件的又一个例子......它是一种勒索软件变种，虽然不够成熟，不够复杂，但仍会造成很大的损害，”Cisco Talos的外联工程师Nick Bisiani上周在一篇文章中说。“Cisco Talos也发现了类似勒索软件。”

特点

研究人员表示，LockerGoga最初的感染方法仍然是一个谜，“一开始被认为是网络钓鱼攻击，但似乎不太可能出现这种情况，因为没有任何网络钓鱼邮件的警报，”威胁分析师Allan Liska告诉threatpost。“很可能是某种形式的远程攻击，例如开放的RDP服务器。”

下载到系统后，恶意软件会将自己转移到一个“temp”文件夹，并使用命令行（cmd）对自己重新命名。

Trend Micro的研究人员上周在一篇文章中说，LockerGoga会对存储在台式机、笔记本电脑和服务器等系统中的文件进行加密。

根据Talos研究人员的说法，LockerGoga似乎同时具有勒索软件和擦除器功能：恶意软件不仅利用加密来阻止受害者访问系统里的文件，同时还观察到各种更高版本的LockerGoga通过修改密码强迫受害者退出受感染的系统，并且移除他们重新登录系统的权限。

“结果就是，在许多情况下，受害者甚至无法查看勒索通知，更不用说试图提供赎金，”Talos研究人员说。“这些更高版本的LockerGoga可以说是极具破坏性。”

LockerGoga勒索通知

受害者会收到一封勒索通知，要求受害者支付比特币，以换取解密密钥。

研究人员称，LockerGoga似乎不具备像WannaCry或NotPetya等其他恶意软件那样的传播能力。相反，LockerGoga会计算受感染系统的Wi-Fi或以太网网络适配器的数量，然后尝试通过命令行（netsh.exe interface set interface disable）禁用它们，以断开系统与外部的连接。

Trend Micro研究人员表示，“LockerGoga在加密之后以及注销当前帐户之前运行此程序。” “这是一个值得注意的特征。LockerGoga通过更改帐户的密码将用户排除在系统之外，因此其文件勒索反而显得不那么重要。

LockerGoga还可以避开沙箱和虚拟机：例如，一些LockerGoga变种的主进程线程在执行之前会休眠超过100次，Trend Micro的研究人员说：“这是各种勒索软件和其他恶意软件（如有针对性的攻击）使用的一种技术。”

关于LockerGoga的另一个有趣的功能，Unit 42的威胁情报副总裁Ryan Olson告诉Threatpost，它使用未记录的Windows API调用进行通信，其中涉及WS2_32.dll，一个在Microsoft Windows中提供对网络连接支持的dll文件。

这意味着“开发者对Microsoft Windows很熟悉，足以了解如何使用这些未记录的API”，以及“开发人员正在构建大型控制网络” ，“他告诉Threatpost。“勒索软件中使用复杂的网络功能很少见。”

目的是什么？

恶意软件的一些功能，以及它留下的勒索记录，使得研究人员在谈到攻击者的目的时摸不着头脑。

Talos研究人员表示，与其他复杂的勒索软件不同，勒索通知中没有支付赎金的说明，没有比特币或Monero钱包地址，但含有两个电子邮件地址来联系攻击者。

Talos研究人员还表示，“这些功能引发了更多关于黑客意图的猜测，因为勒索软件通常是最不先进的恶意软件形式之一：它们是否受到经济利益或其他因素的驱使？动机是否随着时间而改变？为什么他们提供一个电子邮件地址而不是通过更常用的加密货币来要求支付？“

Liska告诉Threatpost，目前还没有找到攻击的原因，这就增加了恶意软件开发者的神秘性。

利斯卡在接受Threatpost采访时表示：“目前，还没有人将这次攻击归咎于谁，他们的目标貌似不是赎金，像是在破坏国家安全，但目前没有证据表明这一点。”

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://threatpost.com/lockergoga-ransomware-norsk-hydro-wiper/143181/