Ryuk勒索軟件和TrickBot木馬的關(guān)系概述

Stella
最近,《華爾街日報》、《紐約時報》和《洛杉磯時報》等大型報紙的報紙出版也受到了相同的勒索軟件的攻擊。所以Ryuk被誤會與朝鮮有關(guān)。
2018年8月,Check Point的安全專家發(fā)現(xiàn),一群朝鮮黑客針對世界各地組織發(fā)起了一場勒索軟件活動——這也是該公司首次檢測到Ryuk勒索軟件。
 
這場活動看起來目標(biāo)明確、計劃周密,針對了多家企業(yè),并對每家受感染企業(yè)的數(shù)百臺電腦、存儲設(shè)備和數(shù)據(jù)中心進行加密。一些受害者企業(yè)為了恢復(fù)被加密的文件支付了巨額贖金,經(jīng)CheckPoint確認(rèn),受害者支付的贖金金額介于15到50比特幣之間。全球范圍內(nèi)至少有三個組織因此受到嚴(yán)重影響,據(jù)估計,到目前為止攻擊者已經(jīng)凈賺64萬美元。
 
Ryuk勒索軟件似乎與Hermes惡意軟件有關(guān),而Hermes惡意軟件則與臭名昭著的Lazarus APT網(wǎng)絡(luò)犯罪組織有關(guān)。最近,《華爾街日報》、《紐約時報》和《洛杉磯時報》等大型報紙的報紙出版也受到了相同的勒索軟件的攻擊。所以Ryuk被誤會與朝鮮有關(guān)。
 
真實“身份”新線索
 
通過對惡意軟件的進一步調(diào)查,安全公司使得FireEye和CrowdStrike的專家發(fā)現(xiàn),Ryuk勒索軟件背后的威脅行為者正在與另一個網(wǎng)絡(luò)犯罪團伙合作,以獲得對目標(biāo)網(wǎng)絡(luò)的訪問權(quán)。他們正在與TrickBot背后的威脅演員合作。(TrickBot是一種惡意軟件,一旦感染了系統(tǒng),就會向攻擊者創(chuàng)建一個反向shell,允許他們進入網(wǎng)絡(luò))
 
Crowdstrike的專家認(rèn)為,Ryuk勒索軟件是由他們追蹤的名為GRIM SPIDER的犯罪集團操作的,更具體來說是TrickBot背后的俄羅斯團伙WIZARD SPIDER。
 
“GRIM SPIDER是一個復(fù)雜的犯罪集團,自2018年8月以來一直在運營Ryuk勒索軟件,目標(biāo)是攻擊大型組織獲得高額贖金。這種被稱為“大型游戲狩獵”的方法標(biāo)志著WIZARD SPIDER的運營方式發(fā)生了變化,GRIM SPIDER似乎只是其中一個部門構(gòu)成。WIZARD SPIDER threat group,即俄羅斯的銀行惡意軟件“TickBot”的運營者,過去主要關(guān)注電信欺詐領(lǐng)域。”
 
FireEye正在追蹤與TEMP.MixMaster相同動機的活動,后者涉及攻擊者使用與TrickBot感染相關(guān)的Ryuk勒索軟件。這種情況表明,TrickBot運營者正在采用犯罪即服務(wù)模式(crime-as-a-service)來提供對他們已經(jīng)妥協(xié)的系統(tǒng)的訪問權(quán)限。
 
“需要注意的是,TEMP.MixMaster僅僅是我們看到Ryuk在TrickBot感染后部署的事件,而且并非所有TrickBot感染都會導(dǎo)致部署Ryuk勒索軟件。我們懷疑TrickBot管理員組織可能位于東歐,很可能向有限數(shù)量的網(wǎng)絡(luò)犯罪分子提供惡意軟件,以便在運營中使用。”
 
FireEye專家觀察到malspam傳播了Ryuk勒索軟件的活動,使用了偽裝德勤工資表的信息。一旦受害者打開附件并啟用了宏,它就會從遠(yuǎn)程服務(wù)器上下載并執(zhí)行TrickBot惡意軟件。
 
從FireEye獲得的數(shù)據(jù)表明,盡管這種特定的惡意垃圾郵件運行可能已經(jīng)分發(fā)了不同的文檔,活動本身也跨越了不同地區(qū)跨行業(yè),但是文檔嘗試檢索輔助有效負(fù)載的URL在附件或收件人之間并沒有變化。
 
攻擊者使用名為Empire的PowerShell后期開發(fā)工具包。Empire通過訪問的網(wǎng)絡(luò)分配有效載荷。Empire也允許竊取網(wǎng)絡(luò)中其他計算機的憑據(jù),然后在其上安裝Ryuk Ransomware。
 
結(jié)論
 
FireEye,CrowdStrike,McAfee進行的調(diào)查似乎排除了Ryuk與朝鮮有關(guān)這一可能,專家認(rèn)為勒索軟件背后的威脅演員來自俄羅斯。根據(jù)McAfee的說法,最初將攻擊者歸屬于朝鮮可能是錯誤的,因為只有Ryuk和Hermes之間的代碼具有相似性。專家們指出,2017年8月,一名講俄語賣家正在利用Exploit.in在線銷售Hermes勒索軟件。很可能是Lazarus集團購買了勒索軟件,并在其運營中使用它,讓人們產(chǎn)生了誤解。
THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論