尽管“退休”,但甘刀赎金软件作家仍然活跃
据SecureWorks Counter威胁单位(CTU)的新研究报道,盖尔下赎回沃特仓库 - AS-AS-AS-AS-AS-AS-AS-AS-AS-AS-AS-A-AS-AS-AS-AS-AS-AS-AS-AS-AS-AS-SUST的作者似乎继续开发新的赎制软件工具。
在告别信息中,Gandcrab的创造者表示,他们正在努力享受“当之无愧的退休”,以便在第四个解密工具之前,使受害者能够在不支付赎金的情况下恢复档案 - 被释放。小组表示,他们证明“你可以做邪恶并下车”。
但是,CTU研究人员现在已经确定了由SecureWorks为黄金花园而闻名的Gandcrab集团的一些或可能是所有的,已经将他们的焦点转移到新的赎金软件威胁,Revil - 也称为SodInokibi - 这是首次被确定的2019年4月17日由Cisco Talos。
在伦敦的圆桌会议上发言,Secureworks CTU Head Don Smith说:“他们[Gandcrab作者]非常公开宣布他们退休,说他们已经赚了一笔钱,并给出了一些非常精确的现金陈述,了解他们所做的多数是多少,他们的附属公司赚了多少。
“Revil,或SodInokibi,出现在现场。它是一种不同类型的赎金软件,所以Gandcrab是单一主机赎金瓶 - 德罗伊卡比是一个家伙登上的人登录到你的网络,花了三到五天求解如何在你的网络中安装的东西,然后敲整企业过度,不受欢迎或Wannacry风格。“
史密斯表示,SecureWorks将Gandcrab的创造者“几乎爆炸权利”作为罗利的创造者,这与网络罪犯的潜在叙述更加符合有组织的犯罪集团,而不是连帽衫的黑客。
他说:“他们不断寻找如何获得更好的投资回报和每笔投资回报资产,”他说。“这是一个很好的例子 - 我不知道Gandcrab解密是多少,但不是很多,因为你加密了一个人的机器 - 转换到总企业加密,赎金可以从50,000美元到没有非常害羞的10米。“
SecureWorks的评估似乎确认了网络安全专家Brian Krebs的调查,他们在2019年6月15日第一次第一次进行了第一次进行了联系。
瑞罗家庭似乎在4月和今年5月之间开发和测试。在5月7日妥善发布之后,其开发商 - 通过SecureWorks称为Gold Southfield - 在八月之外,每个月的初步推动新的释放。根据研究人员,该计划和Revil的能力都表明“专门的恶意软件作者的结构化发展过程”。
在所谓的金花园集团退休之后,Revil活动随着WinRAR.IT网站的扩展递送方法升温,其中它用恶意软件的实例更换了可执行的WinRAR安装,以及三个托管服务提供商(MSPS) 。其他供应链攻击遵循,针对德克萨斯州的22个市,可能在美国数百人牙科手术。
SecureWorks研究人员在两组之间确定了许多其他指示性链接,包括Gandcrab和Revil中使用的代码之间的明确相似性,其中包含几乎相同的串解码功能;恶意软件编写者通常实现自定义编码和解码逻辑,因此这可以是指纹。研究人员还看到了可疑的类似URL建筑逻辑 - 虽然这不一定是证据,以准确地重现这种逻辑将要求作者反向工程师GANDCRAB代码。
这两个赎金瓶家庭也白名单类似的键盘,可以阻止他们的感染俄罗斯的主机 - 常见的策略旨在通过当地执法来阻止审查。这不一定是链接的具体证明,但强烈建议两组基于同一区域。
“盖尔下的赎金软件和服务模式被证明是黄金花园的高度利润丰厚的努力,因此威胁演员不太可能放弃所有恶意活动,”CTU团队说。“Revil的特征似乎是恶意软件作者的运营安全错误,使CTU研究人员能够在技术上链接到Revil和Gandcrab Ransomware系列。此链接表示恶意软件作者已将其焦点从Gandcrab转移到革命。“