信息來源:安全內(nèi)參
據(jù)威脅情報公司Mandiant稱,一家以醫(yī)療保健和教育部門組織為目標(biāo)的中型勒索軟件組織在過去一年中多次更名,以避免受到審查。
Mandiant表示,“54BB47h”(安息日)組織在9月份為附屬合作伙伴做廣告時首次出現(xiàn)在雷達(dá)上。
對于勒索軟件組織來說,不同尋常的是,它為這些附屬機(jī)構(gòu)提供了他們自己預(yù)先配置的Cobalt Strike Beacon后門負(fù)載。雖然這對Mandiant的歸因工作構(gòu)成了挑戰(zhàn),但也為其調(diào)查提供了一個起點(diǎn)。
“Mandiant Advanced Practices開始主動識別過去Mandiant Consulting的類似Beacon基礎(chǔ)設(shè)施、Advanced Practices 外部對手發(fā)現(xiàn)程序和商用惡意軟件存儲庫?!彼忉屨f。
“通過這項(xiàng)分析,Advanced Practices將新的Sabbath組織與以前使用的名稱(包括Arcane和Eruption)下的贖金活動聯(lián)系起來?!?
進(jìn)一步調(diào)查顯示,安息日公開披露的勒索博客與奧術(shù)相關(guān)的博客幾乎完全相同,只是語法錯誤相同。重新命名后,附屬Beacon樣本和基礎(chǔ)設(shè)施也保持不變。
Sabbath、Arcane和Eruption被追溯到威脅組織 UNC2190,該組織“使用多方面的勒索模型,其中勒索軟件的部署范圍可能非常有限,大量數(shù)據(jù)被竊取作為杠桿,并且威脅行為者積極嘗試破壞備份?!?
該組織過去甚至向其目標(biāo)的美國學(xué)區(qū)的教職員工、學(xué)生和家長發(fā)送電子郵件,以強(qiáng)制付款。
有趣的是,在系統(tǒng)語言中,為避免感染某些國家的受害者而進(jìn)行的代碼檢查不僅是前蘇聯(lián)國家,還有瑞典語、泰語、土耳其語、烏爾都語、印度尼西亞語和越南語。
這似乎表明勒索軟件運(yùn)營商會竭盡全力避免不必要的警察注意。
Mandiant總結(jié)道:“UNC2190在過去一年中繼續(xù)運(yùn)營,同時只對他們的戰(zhàn)略和工具進(jìn)行了微小的改變,包括引入商業(yè)包裝機(jī)和重新命名他們的服務(wù)產(chǎn)品?!?
“這凸顯了Beacon等知名工具如何導(dǎo)致有影響力且有利可圖的事件,即使是在鮮為人知的團(tuán)體利用的情況下?!?