保定对运行四年之久的Ranion勒索软件的分析

受影响的平台：Microsoft Windows

受影响对象：Windows 用户

影响：加密受攻击设备上的文件，并要求受害者支付赎金以恢复加密文件。

严重程度：高

Ranion 是一种赎金即服务 (RaaS)，由于它至少自 2017 年 2 月以来就开始活跃了，因此它的迭代版本也相当多。虽然它的活动和目的是加密受攻击设备上的文件并从用户那里获取赎金以恢复他们的文件，这使得它看起来与其他勒索软件相同，但事实是，Ranion RaaS 的内部工作原理与其他勒索软件截然不同。

勒索软件每个版本的使用周期通常很短，比如2021 年一些的勒索软件运动包括：

已经消失的：

自 2019 年以来一直活跃的 REvil（又名 Sodinokibi）已经消失；

Avaddon 勒索软件；

Ragnarok 勒索软件；

Darkside勒索软件；

FonixCrypter 勒索软件在 1 月份放弃了犯罪活动，并发布了解密工具及其主解密密钥；

新出现的：

7 月，Blackmatter 勒索软件的广告出现在网络地下论坛上。虽然 Blackmatter 不是另一种勒索软件的迭代，但有传言称其与 Darkside 有联系；

Haron 勒索软件于 7 月亮相，基于 Thanos 和 Abaddon 勒索软件开发；

Doppelpaymar 勒索软件更名为 Grief (PayOrGrief)；

SynAck 勒索软件于 8 月更名为 El_Cometa；

2021 年停止/开始运行的勒索软件的活跃期

上面列出的勒索软件（在 2021 年消失或重新命名）的平均寿命不到两年。停止运行的原因因勒索软件组而异，但他们这样做通常是为了逃避执法部门和安全研究人员。

Ranison 勒索软件已经活跃了四年

FortiGuard实验室近发现的Ranion勒索软件变种正好与这一趋势背道而驰。Ranison勒索软件家族似乎至少在2017年初就存在了，使其寿命超过四年。同年2月，Radware安全公司的丹尼尔·史密斯披露了Ranion勒索软件，并将其描述为“勒索软件即服务”。令人惊讶的是，它在暗网上的网站仍然保持相对不变，Ranion的开发者仍然声称Ranion是为教育目的而创建的，并要求用户不要使用该勒索软件进行非法活动。

Ranion 的新版本 1.21 版本于 2021 年 7 月发布。 令人惊讶的是，Ranion 开发者在 2021 年（5 月除外）每个月都会更新勒索软件，包括检测规避的更新，这让人怀疑勒索软件是用于教育目的。另一个有趣的数据点是，版本1.08至少在2018年1月发布，在35个月内(2018年1月- 2020年12月)只更新了7次。然而，在2021年，它的开发速度迅速加快，在7个月的时间里，由于未知的原因进行了6次更新。2021年进行的每次更新都包含使用名为ConfuserEx的开源程序的额外代码，以逃避检测并保护安全供应商的身份。

Ranion RaaS介绍

暗网上 Ranion 勒索软件网页的顶部

新版本的 Ranion 勒索软件旨在使用以下 44 种文件扩展名加密受攻击设备上的文件，与之前的分析相比增加了五种新文件类型（新添加的扩展名以橙色突出显示）：

尽管勒索软件并非旨在加密可执行文件，但 Ranion 开发人员表示，用户可以要求免费加密其他文件类型/扩展名，因为任何文件都可能成为Ranion勒索软件的目标。

Ranion 的经营策略

早在 2017 年，Ranion 就为用户提供了两个支持包（1 年和 6 个月的服务）。今天，Ranion 团队提供四种支持包：精英、、标准和测试。

Ranion 勒索软件包和价格

以前，贵的套餐是 0.95 比特币，更便宜的套餐是 0.60 比特币。 2017 年 2 月，一个比特币价值约 1200 美元，这意味着这些包裹的售价分别约为 1140 美元和 720 美元。截至 2021 年 9 月，一个比特币兑换了大约 50000 美元，因此 Ranion 开发人员调整了价格，现在他们还为易于购买的附加选项提供折扣。

Ranion 的商业模式与其他 RaaS 供应商截然不同。通常，勒索软件即服务供应商将 60%-80% 的赎金支付给已成功将其勒索软件安装到受害者设备上的“关联公司”。 Ranion 开发人员不接受中间人的分成。相反，他们的附属公司预先为 RaaS 服务付费，然后他们会收到 的赎金。虽然一些 RaaS 供应商试图招募有经验的附属公司，并经常在允许他们注册服务之前筛选潜在的附属公司，但 Ranion 开发人员却没有。这是许多没有经验的附属公司从 Ranion 开始的原因之一，因为降低了进入门槛。

为了了解这个模型的运行情况，我们跟踪了一个较旧的 Ranion 样本用于支付赎金的一些比特币钱包。在提供 Ranion 样本后的一周内，向钱包支付了两次付款，总计约 153 美元和 460 美元的比特币。但是 Ranion 使用的一个比特币钱包记录了来自另外两个比特币钱包的交易。价值约 470 万美元的比特币从 300 多个不同的比特币钱包转移到其中一个钱包中。

dropper插件

Ranion 的另一个显着特点是它为买家提供了购买dropper附加组件的机会。乍一看，“dropper”可能听起来像是一个恶意软件插件，Ranion 附属公司可以使用它来提供勒索软件，但事实并非如此。根据购买网站上的常见问题解答，这个插件的描述如下:“RANION可以下载你的一个程序(exe文件)，并在加密过程结束后执行它。”

例如，攻击者可能会使用此附加组件在感染了 Ranion 的受害者计算机上静默下载并安装远程访问工具“RAT”。即使受害者选择支付赎金，Ranion 解密程序也只会解密加密文件，但不会删除 RAT。然后，Ranion 附属公司可以转向其他愿意购买现有企业访问权限的 RaaS 服务（比如