电子商务网站建设主管的策划书,wordpress 作品集网站,外贸推广邮件,凡科邮箱最近#xff0c;8Base集团的威胁行为者通过Phobos勒索软件的变种展开了一系列金融动机的攻击。这一发现来自于思科Talos的研究结果#xff0c;他们记录了网络犯罪分子活动的增加。
安全研究员Guilherme Venere在周五发表的详尽的两部分分析中表示#xff1a;“该组织的大多…
最近8Base集团的威胁行为者通过Phobos勒索软件的变种展开了一系列金融动机的攻击。这一发现来自于思科Talos的研究结果他们记录了网络犯罪分子活动的增加。
安全研究员Guilherme Venere在周五发表的详尽的两部分分析中表示“该组织的大多数Phobos变种是通过SmokeLoader这个后门木马进行传播的。”他还补充道“这种通用的加载器通常在部署时会下载或者释放额外的恶意软件。然而在8Base的攻击活动中它将勒索软件的组件嵌入到加密的载荷中然后解密并加载到SmokeLoader进程的内存中。”
8Base集团在2023年中期引起了广泛关注网络安全社区观察到了类似的攻击活动。据说该组织至少从2022年3月开始活动。VMware Carbon Black在2023年6月的一份分析报告中发现了8Base和RansomHouse之间的相似之处还发现了一份使用“.8base”文件扩展名加密文件的Phobos勒索软件样本。这增加了8Base要么是Phobos的继任者要么是操作背后的威胁行为者仅仅使用已有的勒索软件变种进行攻击类似于Vice Society勒索软件组织。
思科Talos的最新研究结果显示SmokeLoader被用作执行Phobos恶意软件的载荷随后它会执行一系列步骤来确保持久性终止可能保持目标文件打开的进程禁用系统恢复功能并删除备份以及影子副本。
另一个值得注意的特点是该恶意软件完全加密小于1.5MB的文件而对于超过此阈值的文件则进行部分加密以加快加密速度。
此外该恶意软件还包含一个加密的配置其中包含70多个选项并使用硬编码密钥进行加密。这些配置可以解锁额外的功能如用户账户控制UAC绕过和向外部URL报告受害者感染情况。
该恶意软件还使用了一个硬编码的RSA密钥来保护用于加密的每个文件的AES密钥。Talos表示这可能有助于解密被该勒索软件锁定的文件。
Venere解释道“每个文件被加密后用于加密的密钥以及其他附加元数据会使用RSA-1024和一个硬编码的公钥进行加密并保存到文件的末尾。”他补充道“这意味着一旦私钥被获取任何自2019年以来的Phobos变种加密的文件都可以可靠地解密。” Phobos勒索软件于2019年首次出现它是Dharma又称为Crysis勒索软件的进化版本根据在VirusTotal上发现的样本数量Phobos勒索软件主要表现为Eking、Eight、Elbie、Devos和Faust等变种。
Venere表示“这些样本都包含相同的源代码并根据部署的变种稍有不同的配置以避免加密其他Phobos勒索软件已经锁定的文件。这是基于勒索软件配置中的文件扩展名阻止列表。”
思科Talos评估认为Phobos勒索软件由一个中央机构密切管理并作为勒索软件服务RaaS出售给其他合作伙伴这些合作伙伴使用相同的RSA公钥联系电子邮件的变化以及勒索软件扩展名阻止列表的定期更新。
Venere说道“勒索软件样本中的扩展名阻止列表似乎反映了这些组织随时间使用相同基本样本的情况。在过去的Phobos活动中这些扩展名阻止列表不断更新以包含在之前的Phobos活动中被锁定的新文件。这可能支持了这样一种想法即存在一个在背后管理着构建工具的中央机构该机构追踪过去使用Phobos的组织。这样做的目的可能是防止Phobos的合作伙伴干扰彼此的操作。”
这一发展出现在FalconFeeds披露了一名威胁行为者正在推广一款名为UBUD的复杂勒索软件产品的同时。该软件是使用C语言开发的并具有“针对虚拟机和调试工具的强大的反检测措施”。
此外据DataBreaches.net报道BlackCat勒索软件组向美国证券交易委员会SEC提交了一份正式投诉指控其受害者之一的MeridianLink未能遵守新的披露规定这些规定要求受影响的公司在四个工作日内报告事件。这家金融软件公司随后确认其在11月10日遭受了网络攻击但并未发现未经授权访问其系统的证据。
尽管SEC的披露规则将于下个月12月18日生效但这种不寻常的压力策略表明威胁行为者正在密切关注该领域并愿意利用政府规定来牵制受害者并迫使其支付赎金。
需要注意的是该执行措施仅适用于公司确定攻击对其财务状况产生“实质性”影响的情况。
同时另一家勒索软件团伙LockBit从2023年10月开始实施了新的谈判规则原因是他们对受害者提供的赔偿金额较低以及由于“不同的合作伙伴经验水平”而提供较大的折扣感到不满。
根据Analyst1的一份详细报告LockBit运营商表示“根据公司的年收入确定最低赎金要求例如为3并禁止超过50的折扣。”他们补充道“因此如果公司的年收入为1亿美元初始赎金要求应该从300万美元开始最终支付金额不得低于150万美元。”
以上是8Base集团通过SmokeLoader部署新的Phobos勒索软件变种的相关内容。请大家保持警惕加强网络安全防护。
