Evil Corp 团伙开始使用 LockBit Ransomware 逃避制裁
Mandiant 研究人员将多个 LockBit 勒索软件攻击与臭名昭著的 Evil Corp 网络犯罪集团联系起来。
Mandiant 研究人员调查了多起 LOCKBIT 勒索软件攻击,这些攻击归因于出于经济动机的威胁参与者 UNC2165。研究人员还注意到,该组织与网络犯罪团伙Evil Corp有许多重叠之处。
UNC2165 组织至少自 2019 年以来一直活跃,主要观察到使用 FAKEUPDATES 感染链(又名 UNC1543)访问受害者的网络。专家们注意到,FAKEUPDATES 也被用作 DRIDEX 感染的初始感染媒介,用于在攻击的最后阶段部署BITPAYMER或DOPPELPAYMER。
此前,UNC2165 攻击者也部署了HADES 勒索软件。
基于 UNC2165 和 Evil Corp 之间的重叠,我们高度自信地评估,这些行为者已经从使用独家勒索软件变种转向 LOCKBIT——一种众所周知的勒索软件即服务 (RaaS)——在他们的操作中,可能会阻碍归因为了逃避制裁而做出的努力。” 阅读Mandiant 发表的分析。
Evil Corp 可能已经开始使用 LockBit 勒索软件,以逃避美国财政部于 2019 年 12 月实施的制裁。
研究人员还注意到 UNC2165 与安全公司 ProDaft 跟踪为“SilverFish”的一组活动重叠。ProDaft 报告中报告的数据证实,分析的恶意软件管理面板用于管理 FAKEUPDATES 感染和分发辅助有效负载,包括 BEACON。Mandiant 根据 ProDaft 发现的恶意软件有效负载和其他技术工件将此活动归因于 UNC2165。
Mandiant 发布的分析提供了与威胁参与者相关的攻击生命周期的每个阶段的详细信息。一旦获得对目标网络的初始访问权限,攻击者就会进行权限提升、内部侦察、横向移动和保持持久性等一系列行动,旨在部署最终的勒索软件。
“采用现有的勒索软件是 UNC2165 试图掩盖其与 Evil Corp 的关系的自然演变。LOCKBIT 近年来的突出地位及其被多个不同威胁集群的成功使用都可能使勒索软件成为一个有吸引力的选择。使用此 RaaS 将允许 UNC2165 与其他关联公司融合,需要对攻击生命周期的早期阶段进行可见性,以正确归因于活动,而之前的操作可能是基于使用专有勒索软件而造成的。” 报告结束。“UNC2165 行动背后的参与者将继续采取额外措施与 Evil Corp 的名称保持距离,这似乎是合理的。“
该报告还包括MITRE ATT&CK 映射、针对 LockBit 勒索软件的YARA 规则
Evil Corp 团伙开始使用 LockBit Ransomware 逃避制裁相关推荐
- 身为网络安全的,连BlackMatter勒索软件都不知道,说出去丢不丢人啊
说明: BlackMatter勒索病毒是一款基于RAAS模式的新型勒索病毒,该勒索病毒黑客组织对外宣称,已经整合了DarkSide.REvil和LockBit等勒索病毒的最佳功能特点. 一个名为Bla ...
- 美国全国步枪协会遭 Grief 勒索软件攻击
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 今天,Grief 勒索软件操纵者称美国全国步枪协会 (NRA) 是其受害者. NRA 的名称已被列入暗网门户网站上,表明它被 Grief 勒索组 ...
- 俄罗斯国家黑客TA505被指攻击金融机构
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 MirrorBlast 公司指出,和俄罗斯存在关联的威胁组织 TA505 使用一个轻量级 Office 文档向位于多个地点的金融机构传播恶意软件 ...
- 思科确认 Yanluowang 勒索软件泄露被盗公司数据
思科已经确认,9月11日,由Yanluowang 勒索软件团伙泄露的数据是在 5 月的一次网络攻击中从公司网络中窃取的. 同时,思科在更新中表示,泄漏不会改变事件对业务没有影响的初步评估: 2022 ...
- 盘点 2021 年严重的网络攻击事件
雨笋教育安全资讯:根据 Security Affairs 披露的信息,盘点一下 2021 年全球部分实体遭受的网络攻击事件. CNA金融 2021 年 3 月,美国最大的保险公司之一CNA金融遭遇了勒 ...
- CodeForces Round #403 (Div.2) A-F
精神不佳,选择了在场外同步划水 没想到实际做起来手感还好,早知道就报名了-- 该打 未完待续233 A. Andryusha and Socks 模拟,模拟大法好.注意每次是先判断完能不能收进柜子,再 ...
- 我五年来都没来过 我的意志力飞涨。
"No person is free who is not master of themselves." - Epictetus "没有谁可以自由自在地掌握自己.&quo ...
- 佳明或已支付勒索金,获得 WastedLocker的解密密钥
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 BleepingComputer 证实称,佳明(Garmin) 已获得遭 WastedLocker 勒索软件加密的文件解密密钥. 20 ...
- Google Alphabet
文一:Google为何要变成子公司?这些彩蛋太劲爆 转自:http://uyoumi.com/?p=397 Alphabet是Google成立的一个母公司,由 Larry Page 担任CEO,Ser ...
最新文章
- [Notes] Bash Shell特性
- [RDMA] 高性能异步的可靠消息传递和RPC :Accelio
- 【抓包工具】Wireshark(详细介绍与TCP三次握手数据分析)
- String数据类型的应用场景
- mysql的1045 28000 排查方法
- 这些学霸的作息表“曝光”,太震撼了,快来找差距!
- Linux qt程序打包依赖库,Linux打包免安装的Qt程序(编写导出依赖包的脚本copylib.sh,程序启动脚本MyApp.sh)...
- (21)Verilog HDL结构:task语句
- 深度学习训练出来的损失不收敛_学习率设置技巧,使用学习率来提升我们的模型...
- Exchange Server 2016 之三:邮箱角色部署
- 通过system用户操作oracle数据库相关
- C++随记总结(1)----关于C++中的大小端、位段(惑位域)和内存对齐
- 票据图片复杂表格框识别(票据单元格切割)
- windows11iis如何安装?
- 死锁、CPU飙高、内存泄漏、内存溢出、栈溢出 问题定位及解决方法汇总
- oracle sql的优化方法
- JavaScript 变量命名规范总结
- 2022/11/21-11/26周报
- ACM中的数学问题合集
- 奇迹控制器证实配置登录器详解