Underground
第一个 Underground 勒索软件样本于 2023 年 7 月初在一个公开可用的文件扫描站点上首次观察到。这与 2023 年 7 月 13 日在其数据泄露网站上发布的第一个受害者的时间大致吻合。 与大多数勒索软件一样,这种勒索软件会加密受害者 Windows 计算机上的文件,并要求赎金才能通过丢弃的赎金票据解密它们。 关于 Underground 的真实身份,有一些相互矛盾的报告和理论在起作用。有声称,该团伙是 2022 年期间活跃的臭名昭著的 Industrial Spy 勒索软件的继承者,但这尚未得到证实。 值得注意的是,勒索软件会加密文件,但它不会更改或附加文件扩展名,许多受害者在尝试激活它们时才发现他们无法访问。
首次出现时间:
2023-7
攻击方法:
执行后,Underground 勒索软件使用以下命令删除卷影副本:
- vssadmin.exe 删除阴影 /all /quiet
勒索软件使用以下命令将 RemoteDesktop/TerminalServer 会话在服务器上保持活动状态的最长时间设置为 14 天(用户断开连接后 14 天):
- reg.exe添加 HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services / v MaxDisconnectionTime / t REG_DWORD / d 1209600000 / f
然后,它使用以下命令停止 MS SQL Server 服务:
- net.exe停止 MSSQLSERVER /f /m
然后,勒索软件会创建并丢弃一个名为“!!自述文件!!.txt“: 虽然勒索软件会加密文件,但它不会更改或附加文件扩展名。
它还避免加密具有以下扩展名的文件:
| .sys | .exe | .dll | .bat | .bin | .cmd |
|---|---|---|---|---|---|
| .com | .cpl | .gadget | .inf1 | .ins | .inx |
| .isu | .job | .jse | .lnk | .msc | .msi |
| .mst | .paf | .pif | .ps1 | .reg | .rgs |
| .scr | .sct | .shb | shs | .u3p | .vb |
| .vbe | .vbs | .vbscript | .ws | .wsh | .wsf |
勒索软件创建并执行 temp.cmd,该 执行以下操作:
- 删除原始勒索软件文件
- 获取 Windows 事件日志列表并删除它们
勒索地址:
1 平台一、自建暗网网站
1.1 数据泄露页:
- 地址: http://xxxxxxxyayqrvugfumgsblrdagvrah7gttfscgzn56eyss5wg3uvmqd.onion
- 界面:
- 解释:所有的泄露数据公布到此页面
1.2 登录页:
- 地址:http://xxxxxxxxxxiev2vfso4vqs7kcrzltfebe5vbimq62p2ja7pslczs3q6qd.onion/auth/login
- 界面:
- 解释:输入勒对应的账号可以进入聊天室与勒索组织谈判
1.3 谈判页:
2 平台二、Telegram
捕获分析:
暂未信息
加密算法:
暂未信息
加密钱包:
暂未信息
受害者勒索金额:
暂未信息
谈判记录:
暂未信息
近期攻击案例:
变种演化:
虽然勒索软件会加密文件,但它不会更改或附加文件扩展名。
IOC 信息
| 种类 | 详情 | 描述 |
|---|---|---|
| SHA2 | 9f702b94a86558df87de316611d9f1bfe99a6d8da9fa9b3d7bb125a12f9ad11f | Underground ransomware |
| SHA2 | eb8ed3b94fa978b27a02754d4f41ffc95ed95b9e62afb492015d0eb25f89956f | Underground ransomware |
| SHA2 | 9d41b2f7c07110fb855c62b5e7e330a597860916599e73dd3505694fd1bbe163 | Underground ransomware |
| SHA2 | cc80c74a3592374341324d607d877dcf564d326a1354f3f2a4af58030e716813 | Underground ransomware |
| SHA2 | d4a847fa9c4c7130a852a2e197b205493170a8b44426d9ec481fc4b285a92666 | Underground ransomware |
| SHA1 | fb4ad5d21f0d8c6755eb4addba0ac288bd2574b6 | Underground ransomware |
| Md5 | 059175be5681a633190cd9631e2975f6 | Underground ransomware |
18363040868
