最近,8Base集团的威胁行为者通过Phobos勒索软件的变种展开了一系列金融动机的攻击。这一发现来自于思科Talos的研究结果,他们记录了网络犯罪分子活动的增加。
安全研究员Guilherme Venere在周五发表的详尽的两部分分析中表示:“该组织的大多数Phobos变种是通过SmokeLoader这个后门木马进行传播的。”他还补充道:“这种通用的加载器通常在部署时会下载或者释放额外的恶意软件。然而,在8Base的攻击活动中,它将勒索软件的组件嵌入到加密的载荷中,然后解密并加载到SmokeLoader进程的内存中。”
8Base集团在2023年中期引起了广泛关注,网络安全社区观察到了类似的攻击活动。据说该组织至少从2022年3月开始活动。VMware Carbon Black在2023年6月的一份分析报告中发现了8Base和RansomHouse之间的相似之处,还发现了一份使用“.8base”文件扩展名加密文件的Phobos勒索软件样本。这增加了8Base要么是Phobos的继任者,要么是操作背后的威胁行为者仅仅使用已有的勒索软件变种进行攻击,类似于Vice Society勒索软件组织。
思科Talos的最新研究结果显示,SmokeLoader被用作执行Phobos恶意软件的载荷,随后它会执行一系列步骤来确保持久性,终止可能保持目标文件打开的进程,禁用系统恢复功能,并删除备份以及影子副本。
另一个值得注意的特点是,该恶意软件完全加密小于1.5MB的文件,而对于超过此阈值的文件,则进行部分加密以加快加密速度。
此外,该恶意软件还包含一个加密的配置,其中包含70多个选项,并使用硬编码密钥进行加密。这些配置可以解锁额外的功能,如用户账户控制(UAC)绕过和向外部URL报告受害者感染情况。
该恶意软件还使用了一个硬编码的RSA密钥来保护用于加密的每个文件的AES密钥。Talos表示,这可能有助于解密被该勒索软件锁定的文件。
Venere解释道:“每个文件被加密后,用于加密的密钥以及其他附加元数据会使用RSA-1024和一个硬编码的公钥进行加密,并保存到文件的末尾。”他补充道:“这意味着,一旦私钥被获取,任何自2019年以来的Phobos变种加密的文件都可以可靠地解密。”
Phobos勒索软件于2019年首次出现,它是Dharma(又称为Crysis)勒索软件的进化版本,根据在VirusTotal上发现的样本数量,Phobos勒索软件主要表现为Eking、Eight、Elbie、Devos和Faust等变种。
Venere表示:“这些样本都包含相同的源代码,并根据部署的变种稍有不同的配置,以避免加密其他Phobos勒索软件已经锁定的文件。这是基于勒索软件配置中的文件扩展名阻止列表。”
思科Talos评估认为,Phobos勒索软件由一个中央机构密切管理,并作为勒索软件服务(RaaS)出售给其他合作伙伴,这些合作伙伴使用相同的RSA公钥,联系电子邮件的变化以及勒索软件扩展名阻止列表的定期更新。
Venere说道:“勒索软件样本中的扩展名阻止列表似乎反映了这些组织随时间使用相同基本样本的情况。在过去的Phobos活动中,这些扩展名阻止列表不断更新,以包含在之前的Phobos活动中被锁定的新文件。这可能支持了这样一种想法,即存在一个在背后管理着构建工具的中央机构,该机构追踪过去使用Phobos的组织。这样做的目的可能是防止Phobos的合作伙伴干扰彼此的操作。”
这一发展出现在FalconFeeds披露了一名威胁行为者正在推广一款名为UBUD的复杂勒索软件产品的同时。该软件是使用C语言开发的,并具有“针对虚拟机和调试工具的强大的反检测措施”。
此外,据DataBreaches.net报道,BlackCat勒索软件组向美国证券交易委员会(SEC)提交了一份正式投诉,指控其受害者之一的MeridianLink未能遵守新的披露规定,这些规定要求受影响的公司在四个工作日内报告事件。这家金融软件公司随后确认其在11月10日遭受了网络攻击,但并未发现未经授权访问其系统的证据。
尽管SEC的披露规则将于下个月12月18日生效,但这种不寻常的压力策略表明威胁行为者正在密切关注该领域,并愿意利用政府规定来牵制受害者并迫使其支付赎金。
需要注意的是,该执行措施仅适用于公司确定攻击对其财务状况产生“实质性”影响的情况。
同时,另一家勒索软件团伙LockBit从2023年10月开始实施了新的谈判规则,原因是他们对受害者提供的赔偿金额较低以及由于“不同的合作伙伴经验水平”而提供较大的折扣感到不满。
根据Analyst1的一份详细报告,LockBit运营商表示:“根据公司的年收入,确定最低赎金要求,例如为3%,并禁止超过50%的折扣。”他们补充道:“因此,如果公司的年收入为1亿美元,初始赎金要求应该从300万美元开始,最终支付金额不得低于150万美元。”
以上是8Base集团通过SmokeLoader部署新的Phobos勒索软件变种的相关内容。请大家保持警惕,加强网络安全防护。