Arcus Media：新兴勒索软件团伙的高级技术分析

关键要点

• Arcus Media 自 2024 年 6 月活跃，以其复杂的特权提升与加密技术闻名。
• 此团伙涉及的攻击对象包括 DatAnalitica，采用双重勒索策略。
• 该勒索软件利用 ShellExecuteExW 实现特权提升，并通过终止关键业务进程来增加运营破坏。
• 使用 ChaCha20 和 RSA-2048 加密技术以确保数据安全。
• 删除影子备份和禁用恢复机制，以防止数据恢复，并保持持久性。

根据网络安全公司 Halcyon Tech 的报告，一组名为 Arcus Media 的新型勒索软件团伙自 2024 年 6月以来活跃。该团伙被认为使用了相当复杂的特权提升和加密方法，尽管尚未广泛为人所知，但它已经与对一些公司的攻击，特别是 DatAnalitica，相关联。Arcus Media 采用双重勒索策略，不仅加密被盗数据，还威胁要公开这些数据，直到付款为止。

Arcus Media 的一个重要特征是，当无法获得管理访问权限时，它能够自动提升特权。它通过 ShellExecuteExW应用程序编程接口重新执行自身，以获得更高的权限，确保其活动不被中断。此外，该团伙会终止关键的业务进程，例如 SQL服务器和电子邮件客户端，以最大限度地破坏运营。

该勒索软件采用 ChaCha20 加密算法用于数据加密，并使用 RSA-2048来保护加密密钥。为提高效率，它只对大文件进行部分加密，并添加独特的文件扩展名。在加密之前，它会删除影子备份，并通过系统命令禁用恢复机制，以防止数据恢复。该恶意软件还通过注册表自启动条目来保持持久性。为了实现隐秘的指挥与控制操作，它还使用 TOR 和加密通道。

“Arcus Media 的精密技术提升了现代勒索软件攻击的复杂性和成功率，因此企业需要更加警惕并采取相应的防范措施。”

结合上述信息，企业在面对这种新型的威胁时，应加强网络安全防护措施，并定期进行系统审计和备份，以应对可能的勒索攻击。