据 ESET 研究人员周三发布的分析,Embargo 勒索病毒团伙是一支新近出现且尚不成熟的勒索病毒即服务RaaS团伙,使用自定义的基于 Rust 的工具包,其中一个变种利用 Windows 的安全模式来禁用安全进程。
Embargo 最早在 2024 年 5 月公开出现,并在接下来的一个月在 ESET 的遥测中首次亮相。该团伙被怀疑是于 5 月袭击 美国无线电中继联盟 的幕后黑手,以及 7 月对南卡罗来纳州警察局 的攻击。
该团伙之前被 Cyble 研究人员指出与已解散的 ALPHV/BlackCat 团伙有一些相似之处,包括泄露网站格式和基于 Rust 的勒索病毒二进制文件。
ESET 的新分析揭示了 Embargo 使用的两个工具的更多细节,这些工具似乎正在积极开发,从样本到样本不断演变。
ESET 将 Embargo 用于勒索攻击的两个关键工具称为“MDeployer”和“MS4Killer”,这两者均是用 Rust 编写的。
工具名功能MDeployer解密和执行 MS4Killer 及勒索病毒有效载荷,记录错误并在攻击结束时执行清理。MS4Killer禁用受害者机器上的安全工具,并根据每个受害者的特定需求进行定制。虽然初始入侵向量尚不明确,但一旦 MDeployer 被安装在受害者机器上,它将从加密文件“bcache”中解密 MS4Killer,并将其释放和执行为“praxisbackupexe”。接着,它会从“acache”中解密 Embargo 勒索病毒有效载荷,释放并执行为“payexe”。ESET 观察到,MDeployer 在所有情况下使用相同的硬编码 RC4 密钥来解密这两个文件。
当执行 MS4Killer 时,研究人员认为其基于 s4killer 演示工具,以常见技术“自带可漏洞驱动程序”BYOVD释放易受攻击的 minifilter 驱动 probmonsys 版本 3004。MS4Killer 利用这个易受攻击的驱动程序获得内核级代码执行权限,从而干扰安全软件。ESET 研究人员解释,Embargo 的版本与原始的 s4killer 不同,已经将要终止的进程名称硬编码到其二进制文件中,并且驱动程序块以 RC4 加密。
MDeployer 在攻击链中记录发生的错误,并输出到名为“failtxt”的文件中。在攻击结束时无论是勒索成功执行还是由于加载程序执行中的错误导致攻击无法继续它都会执行清理程序,包括终止 MS4Killer 循环,删除 praxisbackupexe、payexe 和易受攻击的驱动,同时创建名为 stopexe 的文件。stopexe 是一个流控制文件,某些版本的 MDeployer 会检查它以确定 MDeployer 是否已被执行,防止双重加密。
Embargo 勒索病毒同样使用 Rust 编写,通过随机六位字符例如 b58eeb作为文件扩展名来附加加密文件,并在所有加密目录中放置名为 “HOWTORECOVERFILEStxt” 的赎金说明文件。研究人员还发现,该勒索病毒团
梯子加速器app使用白鲸加速器下载安装流程简便,支持扫码、链接或二维码方式快速完成配置。
