“我们有烟雾、火药和弹壳的气味。但我们没有证据将这些活动与克里姆林宫联系起来。”这是Analyst1首席安全策略师乔恩·迪马吉奥(Jon DiMaggio)所说的话在接受CBS新闻采访时在发布了最新的白皮书之后,该白皮书名为《国家Ransomware”。这份白皮书是Analyst1试图确定俄罗斯政府和总部位于俄罗斯的勒索软件威胁组织之间的人际关系的深度。

“我们想要这样做,但我们相信,在进行了广泛的研究之后,我们基于现有的信息/证据,尽可能地证明了这一点。”迪马吉奥的结论。

以下是Analyst1确定的一些关键角色和联系:

7“Slavik Bogachev”

被誉为“世界上最多产的银行劫匪”,Bogavech最有名的是创造宙斯他是迄今为止最多产的银行信息窃取者之一。根据这份报告,波加威奇独自创造了一个“秘密的宙斯变体和支持网络”,而他最亲密的地下伙伴并不知情商业俱乐部.这种宙斯变种,是一种修改的游戏over ZeuS (GOZ),是专门为间谍而设计的,它的目标是与乌克兰、土耳其和格鲁吉亚有关的政府和情报机构。

Analyst1也认为,在某种程度上当时,俄罗斯政府找到博加乔夫,让他为他们工作,以换取他们允许他继续进行欺诈活动。

美国于2014年5月正式起诉博加乔夫。七年过去了,俄罗斯仍然拒绝引渡博加乔夫。乌克兰内政部提供了原因是:博加乔夫“在联邦安全局一个特别部门的监督下工作”。也就是说,联邦安全服务它是俄罗斯的安全机构,是苏联的继承者克格勃

EvilCorp

商业俱乐部,博加乔夫自己组织的地下犯罪团伙,继续他们的活动。事实上,在博加乔夫的继任者马克西姆·“阿卡”·雅库贝茨的新领导下,这个犯罪集团更名为邪恶集团。一些网络安全公司认出或命名它们Indrik蜘蛛.从那时起,他们就一直在幕后策划各种活动,包括收集银行证书40多个国家使用被称为Dridex

雅库贝茨于2017年被俄罗斯联邦安全局聘用直接支持俄罗斯政府的“恶意网络行动”。他也是这个职位的可能候选人,因为他与爱德华·本德斯基(Eduard Bendesky)的关系,他是前联邦安全局上校,也是他的岳父。也是在2017年,EvilCorp开始创建和使用勒索软件bitpaymer,WastedLocker哈德斯(hades)和哈德斯(hades)以资金为动机的竞选活动。此外,Dridex还被用来在受害者的电脑上投放勒索软件。

银色的鱼

银色的鱼是不是有个威胁行动者能迅速地利用他SolarWinds违反该报告于2020年12月中旬公布。如果你可能还记得,据报道,多家使用太阳风猎户座软件的公司通过供应链的攻击

SilverFish是一名已知的俄罗斯间谍攻击者,据说与EvilCorp有关联,该组织分享了针对一名受害者的类似工具和技术:使用相同的工具和技术指挥与控制基础设施和独特的钴打击信标。SilverFish甚至在EvilCorp用勒索软件攻击该组织几个月后又攻击了该组织。

向导的蜘蛛

巫师蜘蛛是幕后黑手孔蒂琉克ransomware菌株。Analyst1此前曾将“巫师蜘蛛”列为其中之一作为勒索软件集团的一员.迪马吉奥和他的团队认为,巫师蜘蛛负责管理和控制TrickBot

EvilCorp有使用TrickBot向受害者系统发送BitPaymer勒索软件的历史。这表明,这两个群体之间存在某种程度的关系。

这有关系吗?

Analyst1报告包含一些有趣的发现,我们同意它不能提供确凿的证据。当然,这并不意味着没有确凿的证据。但即使有,除非你是情报机构像美国国家安全局一样,确定潜在攻击者的意图可能是浪费时间和精力。

这是否意味着你根本不应该关心归因?不。更新你的系统是明智的威胁模型以应对现实世界的威胁行为者使用的策略。但这通常并不重要正在进行攻击。勒索软件是建立良好和资源充足的威胁您的业务,无论是国家资助或犯罪团伙生活几年的数百万美元支付和比特币繁荣。

你可以在我们关于这个主题的两部分系列文章中阅读更多关于属性的内容什么时候你应该关心