近日,安恒信息猎影实验室在威胁狩猎中捕获到一款名为Donex的新勒索家族样本。截止目前该网站已公布涉及多个国家共计5名受害者的信息。
新勒索家族出现:Donex
近日,安恒信息猎影实验室在威胁狩猎中捕获到一款名为Donex的新勒索家族样本。
经分析,Donex勒索采用双重勒索策略,除加密文件外,还窃取敏感数据并在暗网搭建了专门的数据泄露网站用于胁迫受害者支付赎金。
样本分析截图
Donex采用AES和RSA组合的方式加密文件,加密的文件附加随机生成的后缀名,每个加密目录创建名为Readme.{后缀名}.txt的勒索信文件。
加密目录截图
在勒索信中提及了勒索组织名称Donex,并给出了联系方式和数据泄露博客网站。
勒索信内容截图
截止3月6日,在Donex勒索的暗网博客上一共有5位受害者信息,最早的勒索受害者信息为2024年2月22日上传。
Donex五位受害者信息
泄露的部分信息截图
猎影观点:疑似Darkrace组织品牌重塑
在最早公布的受害者信息截图中含有2024年1月份的数据信息,结合我们捕获到的样本创建时间是2024年2月18日,从中可以看出该勒索组织在年初1-2月成功展开了数次的勒索攻击活动。
经横向对比,我们发现Donex组织样本与2023年短暂出现的Darkrace勒索家族样本的代码存在高度相似性,并且勒索信样式风格重叠。
Darkrace勒索最早在2023年5月被发现,这是一种与LockBit勒索软件具有相似特征的勒索软件变体。该勒索出现时间很短,仅在2023年5月底至6月中旬期间公布了10名受害者后就关闭了暗网的博客站点。
我们推测Donex可能是Darkrace勒索组织的品牌重塑或者勒索软件制作者存在一定的关联性。
Darkrace勒索的加密文件
Darkrace的勒索信截图
防范建议
目前安全数据部已具备相关威胁检测能力,对应产品已完成IoC情报的集成。针对该事件中的最新IoC情报,以下产品的版本可自动完成更新,若无法自动更新则请联系技术人员手动更新:
1. AiLPHA分析平台V5.0.0及以上版本
2. AiNTA设备V1.2.2及以上版本
3. AXDR平台V2.0.3及以上版本
4. APT设备V2.0.67及以上版本
5. EDR产品V2.0.17及以上版本
安恒云沙箱已集成了海量威胁情报及样本特征。
用户可通过云沙箱:https://sandbox.dbappsecurity.com.cn/对可疑文件进行威胁研判并下载分析报告。
或用沙箱打开不明来源的未知文件,在虚拟环境中进行内容预览,免于主机失陷、受到木马或病毒文件攻击。
下载方式
猎影追踪
《APT37利用朝鲜政治话题针对韩国的攻击活动分析报告》为安恒研究院猎影实验室独家发布,如对此研究感兴趣或欲了解报告更多详细,请前往下载。
方式一:扫描下方二维码即可下载
方式二:点击文末“阅读原文”即可下载
https://app-martech.dbappsecurity.com.cn/svip/sapIndex/SapSourceData?pf_uid=17709_1776&sid=324&source=1&pf_type=3&channel_id=8987&channel_name=%E5%AE%89%E6%81%92%E7%A0%94%E7%A9%B6%E9%99%A2&tag_id=2824468d92446b27
方式三:联系安恒信息当地商务人员获取
原文始发于微信公众号(网络安全研究宅基地):猎影追踪:新勒索家族出现,Donex公布多名受害者信息