Kawa4096 是 2025 年 6 月首次被 ASEC 分析师发现的新型高成熟度勒索软件,以 “精准定向 + 双重勒索” 为核心策略,专门攻击金融、教育、服务行业的跨国组织,尤其聚焦日本和美国的企业。其运作模式展现出 “协调有序、技术先进、影响范围广” 的特点,短短 3 个月内已造成多起跨国数据泄露与业务中断事件,成为跨国企业数据安全的重大威胁。
Kawa4096 团伙未公开初始入侵途径,但结合同类跨国勒索软件攻击模式推测,其可能通过以下方式突破企业边界:
- 供应链攻击:利用跨国组织依赖的第三方软件(如办公协作工具、供应链管理系统)漏洞植入恶意载荷;
- 鱼叉式钓鱼:针对企业高管或 IT 部门发送伪装成 “跨国业务文件”“合规通知” 的钓鱼邮件,诱导下载含恶意宏的文档;
- 凭据滥用:通过暗网购买跨国组织泄露的员工账号密码,登录远程办公系统(如 VPN、OA)获取内网入口。
- 强制全面加密:勒索软件无参数启动时,会自动以
-all参数重新执行,确保遍历目标系统所有可加密文件,避免遗漏关键数据;
- 互斥体防冲突:通过
CreateMutexA API 创建名为 “SAY_HI_2025” 的唯一互斥体,防止同一系统中多个勒索软件进程重复执行,避免加密冲突导致系统崩溃(维持系统基本功能以保证与受害者协商);
- 配置化控制:通过嵌入式资源部分的 17 个字段控制加密行为,核心配置包括:
- 文件排除列表:刻意排除
.exe(可执行文件)、.dll(动态链接库)、.sys(驱动文件)及boot.ini(系统启动配置)、desktop.ini(桌面配置)等关键系统文件,确保加密后系统仍能开机运行,不影响勒索沟通;
- 目录过滤规则:避开系统核心目录(如
C:\Windows\System32),仅加密用户数据目录(如Documents、Downloads),平衡 “破坏效果” 与 “系统可用性”。
Kawa4096 的加密机制是其核心技术亮点,采用 “部分加密 + 强度自适应” 策略,兼顾加密速度与文件破坏效果:
- 部分加密技术:将目标文件分割为 64KB 的块,仅加密每个文件的 25%(通常为文件头部或索引区域),此举使加密时间缩短 70% 以上,同时因文件关键结构损坏,导致文件完全无法打开(如数据库文件索引加密后,无法读取数据;文档头部加密后,无法正常解析);
- 加密算法与扩展名:使用 Salsa20 流密码算法(轻量、高效,适合大规模文件加密),加密后文件扩展名格式为
[原文件名].[原扩展名].[9位随机字符](如financial_report.xlsx.8a3d5f7b9),便于攻击者识别已加密文件;
- 文件大小自适应加密:
- 10MB 以上文件:采用 “高强度部分加密”,仅加密关键块,确保快速完成大文件(如视频、大型数据库)加密;
- 10MB 以下文件:采用 “完全加密” 或 “弱强度部分加密”,因小文件加密耗时短,完全加密可避免受害者通过文件修复工具恢复数据。
为确保加密过程不被干扰,勒索软件会系统性终止以下关键进程:
- 数据库进程:如
sqlservr.exe(SQL Server 数据库服务),解锁正在使用的数据库文件,避免因文件占用导致加密失败;
- 办公与浏览器进程:如
excel.exe(Excel)、firefox.exe(火狐浏览器)、outlook.exe(Outlook 邮件),防止用户正在编辑的文件无法被加密;
- 备份服务进程:如 Windows 备份服务、第三方备份软件进程,阻断受害者通过本地备份恢复数据的可能。
- 数据窃取:加密前先将敏感数据(如金融交易记录、客户信息、内部文档)上传至攻击者控制的 C2 服务器;
- 勒索通知:在受害者桌面生成勒索字条,提供个性化索赔 URL(每个受害者唯一),告知赎金金额(通常以门罗币结算)、支付期限及数据泄露威胁;
- 公开施压:若受害者拒绝支付,攻击者会将窃取的数据上传至 Tor 搭建的 “数据泄露平台”,公开披露部分敏感信息(如截取的客户身份证、金融合同片段),迫使企业因声誉风险妥协。
某总部位于美国、日本设有分支机构的金融企业(主营跨境支付)于 2025 年 8 月遭遇 Kawa4096 攻击,具体过程与损失如下:
- 入侵途径:攻击者通过伪装成 “日本央行合规通知” 的钓鱼邮件,诱导日本分支机构 IT 人员打开含恶意宏的文档,植入勒索软件;
- 加密范围:加密美国总部与日本分支机构的 “客户交易记录数据库”“跨境支付订单文档”,未破坏系统核心文件,企业内网仍可访问;
- 勒索过程:攻击者要求支付 50 枚门罗币(约 20 万美元),并在 Tor 平台预览 100 条客户交易记录作为 “数据泄露证明”;
- 损失后果:企业因担心客户数据全面泄露影响声誉,72 小时内支付赎金,期间跨境支付业务中断 2 天,直接经济损失超 50 万美元(含赎金、业务中断损失)。
-
系统与软件加固:
- 禁用 Office 文档宏功能(钓鱼邮件常用恶意宏传播),仅允许可信来源文档启用宏;
- 安装终端检测与响应(EDR)工具,配置针对 “Salsa20 加密算法”“异常进程终止(如批量终止 excel.exe、sqlservr.exe)”“CreateMutexA 创建 SAY_HI_2025 互斥体” 的检测规则,实时拦截勒索软件行为。
-
数据备份策略:
- 实施 “3-2-1 备份原则”:3 份数据副本(原数据 + 2 份备份)、2 种不同存储介质(本地硬盘 + 云存储)、1 份异地备份(与生产环境物理隔离),避免备份数据被一同加密;
- 定期测试备份恢复能力,确保备份文件可正常恢复,且恢复时间满足业务需求(如关键数据库恢复时间≤1 小时)。
-
网络访问控制:
- 限制跨国分支机构间的横向访问,通过零信任架构(ZTA)实现 “最小权限访问”,即使某一分支机构被入侵,也能阻止勒索软件扩散至总部;
- 封堵 Tor 网络访问,防止攻击者通过 Tor 上传窃取数据或受害者访问勒索支付 URL。
- 隔离受感染主机:发现加密文件后,立即断开受感染主机的网络连接(有线 / 无线),避免勒索软件通过内网横向传播;
- 留存攻击证据:收集系统日志(如 Windows 安全日志、进程启动日志)、勒索字条、加密文件样本,提交给安全厂商分析,协助溯源与解密工具开发;
- 谨慎应对勒索:避免直接与攻击者沟通,联系专业勒索软件应急响应团队(如 Mandiant、FireEye)评估数据泄露风险,判断是否支付赎金(需同时考虑法律合规性,部分国家禁止向勒索软件团伙支付赎金);
- 数据恢复:若有可用备份,在彻底清除勒索软件(需格式化受感染磁盘、重装系统)后,从备份恢复数据;若无备份,等待安全厂商发布解密工具(针对 Salsa20 算法的解密工具开发难度较低,若获取勒索软件私钥,可实现批量解密)。
红客联盟 AI 警示:Kawa4096 的 “自适应加密” 与 “系统稳定性维持” 技术,使其区别于传统 “无差别加密、导致系统崩溃” 的勒索软件,更适合针对跨国组织的长期施压。建议跨国企业重点加强 “分支机构终端防护”“异地数据备份”“Tor 网络管控”,同时建立勒索软件应急响应预案,降低攻击后的业务损失与声誉风险。
(报告生成:红客联盟 AI 智能安全分析员 | 2025 年 9 月 23 日)
版权声明·<<<---红客联盟--->>>·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
