信息來(lái)源：安全內(nèi)參

據(jù)威脅情報(bào)公司Mandiant稱，一家以醫(yī)療保健和教育部門組織為目標(biāo)的中型勒索軟件組織在過(guò)去一年中多次更名，以避免受到審查。

Mandiant表示，“54BB47h”（安息日）組織在9月份為附屬合作伙伴做廣告時(shí)首次出現(xiàn)在雷達(dá)上。

對(duì)于勒索軟件組織來(lái)說(shuō)，不同尋常的是，它為這些附屬機(jī)構(gòu)提供了他們自己預(yù)先配置的Cobalt Strike Beacon后門負(fù)載。雖然這對(duì)Mandiant的歸因工作構(gòu)成了挑戰(zhàn)，但也為其調(diào)查提供了一個(gè)起點(diǎn)。

“Mandiant Advanced Practices開(kāi)始主動(dòng)識(shí)別過(guò)去Mandiant Consulting的類似Beacon基礎(chǔ)設(shè)施、Advanced Practices 外部對(duì)手發(fā)現(xiàn)程序和商用惡意軟件存儲(chǔ)庫(kù)。”它解釋說(shuō)。

“通過(guò)這項(xiàng)分析，Advanced Practices將新的Sabbath組織與以前使用的名稱（包括Arcane和Eruption）下的贖金活動(dòng)聯(lián)系起來(lái)?！?

進(jìn)一步調(diào)查顯示，安息日公開(kāi)披露的勒索博客與奧術(shù)相關(guān)的博客幾乎完全相同，只是語(yǔ)法錯(cuò)誤相同。重新命名后，附屬Beacon樣本和基礎(chǔ)設(shè)施也保持不變。

Sabbath、Arcane和Eruption被追溯到威脅組織 UNC2190，該組織“使用多方面的勒索模型，其中勒索軟件的部署范圍可能非常有限，大量數(shù)據(jù)被竊取作為杠桿，并且威脅行為者積極嘗試破壞備份。”

該組織過(guò)去甚至向其目標(biāo)的美國(guó)學(xué)區(qū)的教職員工、學(xué)生和家長(zhǎng)發(fā)送電子郵件，以強(qiáng)制付款。

有趣的是，在系統(tǒng)語(yǔ)言中，為避免感染某些國(guó)家的受害者而進(jìn)行的代碼檢查不僅是前蘇聯(lián)國(guó)家，還有瑞典語(yǔ)、泰語(yǔ)、土耳其語(yǔ)、烏爾都語(yǔ)、印度尼西亞語(yǔ)和越南語(yǔ)。

這似乎表明勒索軟件運(yùn)營(yíng)商會(huì)竭盡全力避免不必要的警察注意。

Mandiant總結(jié)道：“UNC2190在過(guò)去一年中繼續(xù)運(yùn)營(yíng)，同時(shí)只對(duì)他們的戰(zhàn)略和工具進(jìn)行了微小的改變，包括引入商業(yè)包裝機(jī)和重新命名他們的服務(wù)產(chǎn)品?！?

“這凸顯了Beacon等知名工具如何導(dǎo)致有影響力且有利可圖的事件，即使是在鮮為人知的團(tuán)體利用的情況下?！?