Rast Gang
Rast Gang勒索病毒是由Rust语言编写的一款勒索软件,自2023年12月起在国内活跃,主要针对政企单位实施攻击。截至2024年9月,该病毒已迭代至第三个版本。攻击手法多采用暴力破解与Nday组合的方式进行入侵。
首次出现时间:
2023-12
攻击方法:
攻击者通过RDP暴力破解和已知漏洞(Nday)组合入侵边界服务器,获取权限后立即释放勒索软件,不追求内网横向移动。投递组件包括删除系统日志、强制卸载安全软件、窃取凭证等恶意工具,并利用Neshta感染型病毒作为Dropper执行加密流程。
勒索地址:
| 勒索邮箱 |
|---|
| backup@waifu.club |
| BaseData@airmail.cc |
| BitCloud@cock.li |
| dataserver@airmail.cc |
| Fat32@airmail.cc |
| hashtreep@waifu.club |
| Hoeosi@airmail.cc |
| MyFile@waifu.club |
| Qyxugani@airmail.cc |
| Rast@airmail.cc |
| user1@email.com |
捕获分析:
我们捕获到的 Rast 勒索软件信息如下,由 rust 语言编写:
| Path | MD5 |
|---|---|
| %userprofile%\documents\recovery.exe(早期版本) | 4680edef53618e2dbda7832492ede62e |
| %UserProfile%\Documents\svhost.exe(中期版本) | e3d2e511a9a783f6ff3c25e305821be7 |
| %UserProfile%\Documents\svhost.exe(最新版本) | e96dc82b080bc4c229cc5c049c0a187b |
最新版本的 Rast 勒索软件启动后会显示一个控制台界面,需要攻击者手动操作才能启动勒索流程,该逻辑奠定了 Rast gang 的攻击基调:犯罪团伙必须要 RDP 登录到目标服务器上手动操作才能运行勒索。
注册了一个热键 Ctrl+Shift+F1,按下该键后才能执行后续流程,否则界面会阻塞在 Welcome to the RUNTIME program!
按下后展示后续界面,需验证正确的 PIN 码才能继续执行。
验证后进入模式选择,加密方式:
加密内容:
如果选第三个选项 Encrypt multiselect 会额外选择一次要加密的存储设备
选择完毕后会根据选择的模式进行文件加密,加密公钥如下
加密后还会生成一条受害者信息,将该信息发送到攻击者的 MySQL 数据库中,首先连接数据库 94.232.249.179:3306:
通过内存中解密的账号密码登录数据库:
向数据库插入生成的受害者信息,包括随机生成的 company_id、计算机名、指定联系的邮箱等信息
生成的勒索信如下:
加密算法:
AES-256、chacha20
加密钱包:
暂无信息
受害者勒索金额:
暂无信息
谈判记录:
暂无信息
近期攻击案例:
2024年10月,某加油站遭受Rast Gang勒索家族攻击
变种演化:
我们捕获到的 Rast 勒索软件信息如下,由 rust 语言编写:
| Path | MD5 |
|---|---|
| %userprofile%\documents\recovery.exe(早期版本) | 4680edef53618e2dbda7832492ede62e |
| %UserProfile%\Documents\svhost.exe(中期版本) | e3d2e511a9a783f6ff3c25e305821be7 |
| %UserProfile%\Documents\svhost.exe(最新版本) | e96dc82b080bc4c229cc5c049c0a187b |
最新版本
最新版本的 Rast 勒索软件启动后会显示一个控制台界面,需要攻击者手动操作才能启动勒索流程,该逻辑奠定了 Rast gang 的攻击基调:犯罪团伙必须要 RDP 登录到目标服务器上手动操作才能运行勒索。
注册了一个热键 Ctrl+Shift+F1,按下该键后才能执行后续流程,否则界面会阻塞在 Welcome to the RUNTIME program!
按下后展示后续界面,需验证正确的 PIN 码才能继续执行。
验证后进入模式选择,加密方式:
加密内容:
如果选第三个选项 Encrypt multiselect 会额外选择一次要加密的存储设备
向数据库插入生成的受害者信息,包括随机生成的 company_id、计算机名、指定联系的邮箱等信息
生成的勒索信如下:
早期版本
早期版本的 Rast 勒索名为 recovery.exe,没有控制台界面简单验证自身是否在 %userprofile%\documents 文件夹下
加密文件后将受害者信息上传到攻击者的 FTP 服务器 179.43.172.241:21 上,该服务器现在已经无法连接
中期版本
中期版本中加入了控制台界面、启动热键和 PIN 码验证,并且同样要求自身位于 %userprofile%\documents 文件夹下(最新版没有此要求),初始界面如下:
按下启动热键后要求输入 PIN 码:
进入模式选择,与最新版相比,少了加密方式的选项:
该版本上传受害者信息的 C2 与最新版本相同,均为 94.232.249.179:3306
IOC 信息
| 种类 | 详情 |
|---|---|
| MD5 | 6966d86f2bc4bbc5a3ea002baf4c5b4a |
| MD5 | bb7c575e798ff5243b5014777253635d |
| MD5 | c0a8af17a2912a08a20d65fe85191c28 |
| MD5 | e96dc82b080bc4c229cc5c049c0a187b |
| MD5 | b53f2c089d4a856f72b98564afd30aaf |
| MD5 | 9e1108f9808a4a117d15c4afe0472061 |
| MD5 | 673630ad8254a52b7eb9897518129aeb |
| MD5 | e3d2e511a9a783f6ff3c25e305821be7 |
| MD5 | 4680edef53618e2dbda7832492ede62e |
| MD5 | e96dc82b080bc4c229cc5c049c0a187b |
| C2 | 94.232.249.179:3306 |
| C2 | 179.43.172.241:21 |
