研究人员发现了SunCrypt和QNAPCrypt勒索软件之间的联系

根据最新研究，去年感染了多个目标的勒索软件菌株SunCrypt可能是针对基于Linux的文件存储系统的QNAPCrypt勒索软件的更新版本。

Intezer实验室研究员Joakim Kennedy在今天发布的一份恶意软件分析报告中说：“虽然这两个勒索软件[系列]由不同的威胁参与者在黑暗网络上操作，但在代码重用和技术方面有着强大的技术联系，将这两个勒索软件与同一作者联系在一起。”网状物

QNAPCrypt（或eCh0raix）于2019年7月首次被发现，是一个勒索软件家族，被发现以台湾公司QNAP Systems和Synology的网络连接存储（NAS）设备为目标。这些设备受到了威胁，它们通过强制使用弱凭据和利用已知漏洞对系统中发现的文件进行加密。

此后，勒索软件被追踪到一个名为“FullOfDeep”的俄罗斯网络犯罪组织，Intezer关闭了多达15个勒索软件活动，这些活动使用QNAPCrypt变体，并针对一系列静态比特币钱包发起拒绝服务攻击，这些钱包是为了明确接受受害者的勒索付款而创建的，预防未来的感染。

另一方面，SunCrypt是一款基于Windows的勒索软件工具，最初于2019年10月在Go中编写，然后在2020年中期移植到C/C++版本。除了在加密文件之前窃取受害者的数据并以公开披露相威胁外，该组织还利用分布式拒绝服务（DDoS）攻击作为第二敲诈勒索策略，迫使受害者支付要求的赎金。

最近，该勒索软件于12月29日部署到新南威尔士州一家名为PRP Diagnostic Imaging的医疗诊断公司，该公司涉嫌从其两个管理文件服务器窃取“少量病历”。

尽管这两个勒索软件家族针对不同的操作系统发起了攻击，但此前有报道称SunCrypt与其他勒索软件集团有联系。

事实上，区块链分析公司ChainAnalysis上个月早些时候引用了威胁情报公司Intel 471的一份“私下流传的报告”，称SunCrypt的代表将他们的毒株描述为“一种‘知名’勒索软件毒株的重写和重新命名版本”

现在根据Intezer对SunCrypt Go二进制文件的分析，勒索软件不仅与QNAPCrypt共享类似的加密功能，但也包括加密的文件类型和用于生成加密密码的方法，以及执行系统区域设置检查以确定相关机器是否位于不允许的国家。

同样值得注意的是，QNAPCrypt和SunCrypt都利用勒索软件即服务（RaaS）模式在地下论坛上宣传他们的工具，在这些论坛中，附属公司自己进行勒索软件攻击，并将每个受害者的付款的一定比例支付给菌株的创造者和管理员。

考虑到两组之间的重叠和行为差异，英特策怀疑“eCh0raix勒索软件被转移到SunCrypt运营商并由其升级。”

研究人员得出结论：“虽然基于技术的证据有力地证明了QNAPCrypt和SunCrypt的早期版本之间的联系，但很明显，这两种勒索软件都是由不同的人操作的。”。

“根据现有数据，无法将论坛上两个参与者之间的活动联系起来。这表明，当从旧服务衍生的新恶意软件服务出现时，它们可能并不总是由同一个人操作。”