42 views

与Emotet和TrickBot特洛伊木马有关的Ryuk勒索软件; 怀疑转向网络犯罪集团

By | 2019年1月14日

多位研究人员将Ryuk勒索软件与2018年末美国多家报纸的运营活动联系起来,将其与Emotet和TrickBot特洛伊木马联系起来。在这样做的过程中,一些分析师现在也将朝鲜行动者的攻击归咎于可能来自俄罗斯的网络犯罪分子,而另一些人则认为归因努力为时尚早。

Crowdstrike,FireEye,Kryptos Logic和迈克菲实验室本周均报道,针对Tribune公司的攻击是更大的网络犯罪计划的一部分,该计划已经通过针对Ryuk的大型企业环境组织收集了370多万美元。

勒索软件通常作为Emotet开始的感染链中的最后阶段到达,而Emotet又将TrickBot作为辅助有效负载。(但是,FireEye表示一些组织直接感染了TrickBot。)研究人员已经确认演员使用网络钓鱼电子邮件作为攻击媒介。

通常,攻击者不依赖TrickBot的能力自动将Ryuk下载到受害者的机器上。相反,它们通常首先处于低位,进入至少持续数月的潜伏​​期。最终,他们手动恢复活动,横向扩散并通过反向壳体隧道连接的RDP连接以及帝国后开发框架进行侦察。如果受害者看起来是一个有利可图的勒索软件目标,那么攻击者才会与Ryuk罢工。

FireEye指的是这个操作,可以追溯到2018年8月,作为TEMP.MixMaster,并将该活动归咎于Crowdstrike的Falcon Intelligence部门称为Grim Spider的演员。“Ryuk仅供Grim Spider使用,”该部门在其报告中断言。

Grim Spider是Wizard Spider的一个子组,Crowdstrike的Falcon Intelligence部门称其与TrickBot背后的同组。Crowdstrike报告指出,“猎鹰情报部门对中国高度自信,即格里姆蜘蛛威胁演员在俄罗斯境外活动。”

可能在俄罗斯境外运营的网络犯罪分子实际上是在Ryuk袭击事件背后的前提,这是对先前有关朝鲜正在进行的操作的猜测的改变。这个最初的假设显然源于观察到Ryuk是Hermes的修改版本,Hermes是据称朝鲜Lazarus集团在2017年通过SWIFT银行网络从台湾银行窃取资金的活动中使用的勒索策略。

然而,研究人员指出,Hermes背后的源代码长期以来一直供黑网上的买家使用。事实上,迈克菲报道说,在台湾银行事件发生之前,就在2017年8月,在一个地下论坛上发现了一位讲俄语的演员提供Hermes 2.1勒索软件包。

迈克菲的报告得出结论:“Ryuk案件中最 可能的假设是从俄语演员提供的工具包开发的网络犯罪操作。” “根据证据,我们看到过去几个月的样本相似性表明正在使用工具包。”

在他们自己的报告中,Kryptos Logic插话说:“虽然没有证据表明朝鲜不与Emotet演员合作,但也没有证据支持他们(而不是)对演员进行令人讨厌的定时攻击谁决定打断假期。“

发表评论

电子邮件地址不会被公开。 必填项已用*标注