2018年8月,Check Point的安全专家发现,一群朝鲜***针对世界各地组织发起了一场勒索软件活动——这也是该公司首次检测到Ryuk 勒索软件。
这场活动看起来目标明确、计划周密,针对了多家企业,并对每家受感染企业的数百台电脑、存储设备和数据中心进行加密。一些受害者企业为了恢复被加密的文件支付了巨额赎金,经CheckPoint确认,受害者支付的赎金金额介于15 到50 比特币之间。全球范围内至少有三个组织因此受到严重影响,据估计,到目前为止***者已经净赚64万美元。
Ryuk勒索 软件似乎与 Hermes恶意软件有关,而Hermes恶意软件则与臭名昭着的Lazarus APT 络犯罪组织有关。最近,《华尔街日 》、《纽约时 》和《洛杉矶时 》等大型 纸的 纸出版也受到了相同的勒索软件的***。所以Ryuk被误会与朝鲜有关。
真实“身份”新线索
通过对恶意软件的进一步调查,安全公司使得FireEye 和 CrowdStrike的专家发现,Ryuk勒索软件背后的威胁行为者正在与另一个 络犯罪团伙合作,以获得对目标 络的访问权。他们正在与TrickBot背后的威胁演员合作。(TrickBot是一种恶意软件,一旦感染了系统,就会向***者创建一个反向shell,允许他们进入 络)
-
Crowdstrike的专家认为,Ryuk勒索软件是由他们追踪的名为GRIM SPIDER的犯罪集团操作的,更具体来说是TrickBot背后的俄罗斯团伙WIZARD SPIDER 。
“GRIM SPIDER是一个复杂的犯罪集团,自2018年8月以来一直在运营Ryuk勒索软件,目标是***大型组织获得高额赎金。这种被称为“大型游戏狩猎”的方法标志着WIZARD SPIDER的运营方式发生了变化,GRIM SPIDER似乎只是其中一个部门构成。WIZARD SPIDER threat group,即俄罗斯的银行恶意软件“TickBot”的运营者,过去主要关注电信欺诈领域。”
-
FireEye正在追踪与TEMP.MixMaster相同动机的活动,后者涉及***者使用与TrickBot感染相关的Ryuk勒索软件。 这种情况表明,TrickBot运营者正在采用犯罪即服务模式(crime-as-a-service)来提供对他们已经妥协的系统的访问权限。
“需要注意的是,TEMP.MixMaster仅仅是我们看到Ryuk在TrickBot感染后部署的事件,而且并非所有TrickBot感染都会导致部署Ryuk勒索软件。我们怀疑TrickBot管理员组织可能位于东欧,很可能向有限数量的 络犯罪分子提供恶意软件,以便在运营中使用。”
-
FireEye专家观察到malspam传播了Ryuk勒索软件的活动,使用了伪装德勤工资表的信息。一旦受害者打开附件并启用了宏,它就会从远程服务器上下载并执行TrickBot恶意软件。
从FireEye获得的数据表明,尽管这种特定的恶意垃圾邮件运行可能已经分发了不同的文档,活动本身也跨越了不同地区跨行业,但是文档尝试检索辅助有效负载的URL在附件或收件人之间并没有变化。
-
***者使用名为Empire的PowerShell后期开发工具包。Empire通过访问的 络分配有效载荷。Empire也允许窃取 络中其他计算机的凭据,然后在其上安装Ryuk Ransomware。
结论
FireEye,CrowdStrike,McAfee行的调查似乎排除了Ryuk与朝鲜有关这一可能,专家认为勒索软件背后的威胁演员来自俄罗斯。根据McAfee的说法,最初将***者归属于朝鲜可能是错误的,因为只有Ryuk和Hermes之间的代码具有相似性。专家们指出,2017年8月,一名讲俄语卖家正在利用Exploit.in在线销售Hermes勒索软件。很可能是Lazarus集团购买了勒索软件,并在其运营中使用它,让人们产生了误解。
相关资源:iZotope Ozone VST (臭氧) V4.0.3.274 绿色汉化版.zip-制造工具类…
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!