身份不明的勒索软件瞄准中小企业和个人用户

TZW是Adhubllka的最新版本,自2019年以来一直活跃,但由于其较低的赎金要求,它很大程度上没有得到报道。
暗网勒索软件

研究人员已经确认了一种新的勒索软件变种,可以追溯到2019年,针对个人和小型企业,要求每个客户支付较小的赎金,而不是通常勒索软件攻击者要求的数百万美元。

TZW是Adhubllka勒索软件家族的最新变种,该家族首次出现在2020年1月,但研究人员从安全和运营分析公司Netenrich本周发布的博文中透露,该家族在前一年就已经活跃。

比发现这一变种更重要的是,研究人员为准确识别它所采取的过程。多年来,许多Adhubllka的样本被错误地归类或贴上了其他勒索软件家族的标签,Netenrich的高级威胁分析师Rakesh Krishnan表示。

他说:“这会在事件报告时困扰威胁猎人/安全研究人员。”的确,研究人员报告称,之前已经有多个引擎检测到了TZW,但在样本中发现了其他恶意软件,比如CryptoLocker。

此外,同一份样本已经被分配了其他名称,包括ReadMe、MMM、MME、GlobeImposter2.0,它们实际上都属于Adhubllka勒索软件家族。Krishnan表示,所有这些混淆情况都需要进一步对勒索软件变种的谱系进行挖掘,以正确归属。

他补充说:“这项研究还通过[威胁行为者]的通信渠道和其他方式揭示了如何追踪勒索软件家族的起源,包括联系电子邮件、赎金说明和执行方法,在分析中都起到了至关重要的作用。”

追踪Adhubllka

研究人员指出,Adhubllka在2020年1月首次引起了更多关注,但在前一年已经“高度活跃”。威胁组织TA547在2020年的针对澳大利亚各个领域的活动中使用了Adhubllka的变种。

研究人员难以将TZW正确识别为Adhubllka的一个分支的一个关键原因是该组织通常提出的较低的赎金要求——800至1600美元。在这个较低的水平上,受害者经常会付款给攻击者,而攻击者则继续在监视下逍遥法外。

Krishnan表示:“与其他勒索软件一样,这种勒索软件也是通过网络钓鱼活动传播的,但其独特之处在于它们只针对个人和小型企业,因此在媒体渠道上不会引起轰动。然而,这并不意味着[Adhubllka]在未来不会变得更大,因为他们已经对基础设施进行了必要的更新。”

事实上,研究人员预计在未来,这种勒索软件可能会被赋予其他名称,并且其他组织也可能使用它来发动自己的勒索软件活动。

Krishnan表示:“然而,只要威胁行为者不改变他们的通信方式,我们就能够将所有这些案例追溯到Adhubllka家族。”

识别的关键要素

事实上,研究人员用于将最新的攻击活动与Adhubllka联系起来的关键方法是追踪先前由攻击者使用的Tor域名,团队从被投放给受害者的赎金说明中找到线索,将其追溯回源头。

在这份说明中,威胁行为者要求受害者通过基于Tor的受害者门户进行通信,以便在支付赎金后获取解密密钥。根据博文,说明表明该组织将其通信渠道从v2 Tor Onion URL更改为v3 Tor URL,”因为Tor社区废弃了v2 Onion域名”。

此外,说明中的另一句话——”包含解密器的服务器位于封闭网络Tor中”——只在两个新的Adhubllka变种中出现过:TZW和U2K,根据研究人员的说法,这进一步缩小了归因范围。

其他明确指向最新Adhubllka变种的线索包括该活动使用的电子邮件地址pr0t3eam@protonmail.com,据广泛报道,这个地址属于勒索软件团伙,并且与2019年发现的Adhubllka MD5变种样本有关。

总体而言,这项研究展示了勒索软件是如何精心设计的,以迷惑威胁猎人追踪网络犯罪分子的行踪,Krishnan表示,这强调了通过设置端点安全解决方案来防御攻击的重要性。

他说:“然而,当一个勒索软件是新形成/编码的,只能通过基本的安全教育来阻止,比如不要点击通过电子邮件传递的恶意链接。”

事实上,组织的最重要的防护措施在于首先阻止勒索软件进入环境,”这意味着要寻找行为异常、特权提升以及可疑可移动介质引入环境的情况”,Krishnan补充道。

推荐阅读:

在MOVEit诉讼之后,软件制造商可能面临更大的责任压力

179人因暗网贩毒被警方逮捕

  • 点赞
  • 打赏
请选择打赏方式
  • ERC-20
  • TRC-20