RansomHouse勒索軟件即服務(wù)（RaaS）近期完成了加密工具的升級，將原本相對簡單的單階段線性加密技術(shù)，替換為更復(fù)雜的多層加密方法。

實際應(yīng)用中，此次升級帶來了更強(qiáng)的加密效果、更快的加密速度，以及在現(xiàn)代目標(biāo)環(huán)境中更穩(wěn)定的運行表現(xiàn)，讓威脅組織在加密完成后的談判環(huán)節(jié)擁有更大的籌碼。

RansomHouse于2021年12月以數(shù)據(jù)勒索網(wǎng)絡(luò)犯罪組織的形式成立，后續(xù)在攻擊中引入了加密工具，并開發(fā)出名為MrAgent的自動化工具，可同時鎖定多臺VMware ESXi虛擬機(jī)監(jiān)控程序。

此前有報道稱，該威脅組織曾針對日本電商巨頭Askul公司，同時使用了多款勒索軟件家族的工具發(fā)起攻擊。

根據(jù)研究人員發(fā)布的新報告顯示，最新的加密工具變種代號為“Mario”。

新型“Mario”加密工具

RansomHouse的這款最新加密工具變種，將原本的單輪文件數(shù)據(jù)轉(zhuǎn)換方式，改為基于雙密鑰的兩階段轉(zhuǎn)換方式——分別使用一個32字節(jié)的主密鑰與一個8字節(jié)的副密鑰。

該方式提升了加密的熵值，增加了部分?jǐn)?shù)據(jù)恢復(fù)的難度。

Mario生成兩個加密密鑰

第二項重要升級是引入了新的文件處理策略：以8GB為閾值設(shè)置動態(tài)數(shù)據(jù)塊大小，同時采用間歇式加密。

由于該策略具備非線性特征、通過復(fù)雜算法確定處理順序，且會根據(jù)文件大小采用不同的處理方式，靜態(tài)分析的難度被大幅提升。

Mario的另一項值得關(guān)注的升級是優(yōu)化了內(nèi)存布局與緩沖區(qū)組織方式，同時提升了復(fù)雜度：現(xiàn)在每個加密階段或功能模塊都有獨立的專用緩沖區(qū)。

最后，與僅會聲明任務(wù)完成的舊版本相比，升級后的加密工具會輸出更詳細(xì)的文件處理信息。

該新型變種仍以虛擬機(jī)文件為攻擊目標(biāo)，會將加密后的文件重命名為帶.emario后綴的格式，并在所有受影響的目錄中留下勒索信《How To Restore Your Files.txt》。

最新RansomHouse變種掉落的贖金信

RansomHouse的加密工具升級情況令人擔(dān)憂，這標(biāo)志著“勒索軟件發(fā)展的危險趨勢”：解密難度有所提升，靜態(tài)分析與逆向工程的難度也進(jìn)一步加大。

RansomHouse是運營時間較長的RaaS平臺之一，但攻擊規(guī)模仍處于中等水平。其持續(xù)開發(fā)高級工具的行為，表明該組織采取了更注重攻擊效率與規(guī)避檢測、而非擴(kuò)大攻擊規(guī)模的策略，對于人們來說更需警惕對待。

參考及來源：https://www.bleepingcomputer.com/news/security/ransomhouse-upgrades-encryption-with-multi-layered-data-processing/