勒索软件集团多次更名以逃避检测
据威胁情报公司Mandiant称,一家以医疗保健和教育部门组织为目标的中型勒索软件组织在过去一年中多次更名,以避免受到审查。
Mandiant表示,“54BB47h”(安息日)组织在9月份为附属合作伙伴做广告时首次出现在雷达上。
对于勒索软件组织来说,不同寻常的是,它为这些附属机构提供了他们自己预先配置的Cobalt Strike Beacon后门负载。虽然这对Mandiant的归因工作构成了挑战,但也为其调查提供了一个起点。
“Mandiant Advanced Practices开始主动识别过去Mandiant Consulting的类似Beacon基础设施、Advanced Practices 外部对手发现程序和商用恶意软件存储库。”它解释说。
“通过这项分析,Advanced Practices将新的Sabbath组织与以前使用的名称(包括Arcane和Eruption)下的赎金活动联系起来。”
进一步调查显示,安息日公开披露的勒索博客与奥术相关的博客几乎完全相同,只是语法错误相同。重新命名后,附属Beacon样本和基础设施也保持不变。
Sabbath、Arcane和Eruption被追溯到威胁组织 UNC2190,该组织“使用多方面的勒索模型,其中勒索软件的部署范围可能非常有限,大量数据被窃取作为杠杆,并且威胁行为者积极尝试破坏备份。”
该组织过去甚至向其目标的美国学区的教职员工、学生和家长发送电子邮件,以强制付款。
有趣的是,在系统语言中,为避免感染某些国家的受害者而进行的代码检查不仅是前苏联国家,还有瑞典语、泰语、土耳其语、乌尔都语、印度尼西亚语和越南语。
这似乎表明勒索软件运营商会竭尽全力避免不必要的警察注意。
Mandiant总结道:“UNC2190在过去一年中继续运营,同时只对他们的战略和工具进行了微小的改变,包括引入商业包装机和重新命名他们的服务产品。”
“这凸显了Beacon等知名工具如何导致有影响力且有利可图的事件,即使是在鲜为人知的团体利用的情况下。”