我们中的许多人每天都会读到关于勒索软件的新闻,这些新闻令人担忧和心碎。我们很多人没有意识到的是,它们通常是相互关联的。我们读到的勒索软件活动背后的一些团伙已经在彼此之间建立了一种可以形容为“相互勾结”的关系,但他们缺乏某些可能巩固其在数字地下世界中真正卡特尔地位的元素。
这是威胁情报公司Analyst1的首席安全策略师、知名网络安全大师乔恩·迪马吉奥(Jon DiMaggio)的总体发现。
在一个有名的白皮书中《赎金黑手党-世界首个勒索软件卡特尔分析》,迪马吉奥和他的团队旨在提供一份分析评估,以判断是否真的存在勒索软件卡特尔,或者是否有迹象表明存在勒索软件团伙只是为了分散研究人员和执法人员的注意力而编造的东西。
捆绑在一起的纽带
分析师1已经确定了其报告中提到的附属组中的两个强大联系,该群体建立了它们如何与卡特尔这样的东西一起工作。他们是:
共享数据泄漏站点
卡特尔内的帮派分享了有关他们遭到攻击的公司的信息,以及他们遇到的所有数据。在一个示例中,研究人员看到了扭转的蜘蛛张贴被锁定的储物团伙和骑自枪蜘蛛收集的受害者数据。这是在这些团伙的顶部,将公司数据发布到各自的泄漏网站上。
共享基础设施
使用IP地址和命令和控制基础设施与扭曲的蜘蛛绑定的控制基础设施找到了Suncrypt,以在其广告系列中提供赎金瓶有效载荷。在扭曲的蜘蛛在其运营中使用它们后10个月观察到这一点。只有在已经建立了信任关系时,才能发生这种资源共享。
分析人员还确定了群体中的其他间接和技术联系,即他们自己是没有足够的准确归因的足够措施。
其他值得注意的结果
该研究包括其他几种值得注意的结果:
- 受害者数据并不是这些帮派成员之间唯一的交流内容。他们也被观察到分享策略,例如通过制造一个Ransomware-as-a-Service(老城)包裹可供其他罪犯,以及命令和控制(C&C)基础设施。
- 有关联的犯罪团伙似乎正在采取自动化攻击的行动,这表明勒索软件的有效载荷增加了自动化能力。人工感染受影响的公司是大型狩猎(BGH)勒索软件威胁行为人的一个众所周知的标志。
- 一些参与的组织过去曾接受媒体采访。他们还在自己的网站上发布新闻稿,并使用多种手段骚扰受害者付款。
- 在过去的某个时候,有关联的团伙声称自己是某个卡特尔的一部分。尽管他们中的一些人已经否认了他们之间的联系,但证据与此相矛盾。
谁是贩毒集团的成员?
分析师1在“赎金卡特尔”标签下分组附属赎金软件帮派。但是,请注意,这一集体被命名为自己这“迷宫卡特尔”同年,他们的合作关系已经成立。
赎金卡特尔于5月2020年5月出现。扭曲的蜘蛛是迷宫赎金软件和其他人背后的帮派,据说是发起创作的小组。他们的主要动机是财务收益。
这些群体大多在东欧,他们主要讲俄语,这一点他们一点也不掩饰。其中一些组织开发了勒索软件以外的恶意软件;然而,所有的组织都确保它们不会影响俄罗斯和中国的用户独立国家联邦(CIS)。
以下是个人团体的简要概述据说弥补赎金卡特(请注意,并非所有这些都是官方名称。因此,它们根据他们使用的赎金软件变体命名):
扭曲的蜘蛛
其他别名(es):迷宫队,Fin6
恶意软件:迷宫ransomware(以前称为Chacha),egregor勒索制造器, Qakbot蠕虫,其他商品开发工具包
必威平台APPMalwarebytes检测:ransom.maze.那赎金。Sekhmet那蠕虫.Kakbot., 分别
洛克布帮派
其他别名(es):没有任何
恶意软件:LockBit勒索软件,Hakops键盘记录器
必威平台APPMalwarebytes检测:赎金。LockBit那木马。键盘记录器, 分别
向导的蜘蛛
其他别名(es):严峻的蜘蛛(作为巫师蜘蛛的子集),UNC1878,Temp.mixmaster
恶意软件:TrickBot木马那ryuk ransomware,孔蒂ransomware,Megacortex赎金软件, BazarLoader后门
必威平台APPMalwarebytes检测:木马。TrickBot那赎金。琉克那赎金。孔蒂那ransom.megacortex.那木马。集市, 分别
维京蜘蛛
其他别名(es):ragnar group
恶意软件:Ragnar Locker Ransomware.
必威平台APPMalwarebytes检测:ransom.ragnar.
Suncrypt帮派
其他别名(ES):没有
恶意软件:SunCrypt ransomware
必威平台APPMalwarebytes检测:ransom.suncrypt.
“什么组织?”
虽然确实存在信任,并且分享资源和策略,但在这些赎金瓶帮派中,分析师1已经评估了赎金瓶卡特尔不是真正的卡特尔。其报告总结说,它目睹的合作缺乏达到卡特尔水平,最符合盈利共享所需的一些要素。
您可以阅读更多关于该报告的信息在这里。
评论