勒索軟件集團多次更名以逃避檢測

據威脅情報公司Mandiant稱，一家以醫療保健和教育部門組織為目標的中型勒索軟件組織在過去一年中多次更名，以避免受到審查。

Mandiant表示，“54BB47h”（安息日）組織在9月份為附屬合作伙伴做廣告時首次出現在雷達上。

對于勒索軟件組織來說，不同尋常的是，它為這些附屬機構提供了他們自己預先配置的Cobalt Strike Beacon后門負載。雖然這對Mandiant的歸因工作構成了挑戰，但也為其調查提供了一個起點。

“Mandiant Advanced Practices開始主動識別過去Mandiant Consulting的類似Beacon基礎設施、Advanced Practices 外部對手發現程序和商用惡意軟件存儲庫。”它解釋說。

“通過這項分析，Advanced Practices將新的Sabbath組織與以前使用的名稱（包括Arcane和Eruption）下的贖金活動聯系起來。”

進一步調查顯示，安息日公開披露的勒索博客與奧術相關的博客幾乎完全相同，只是語法錯誤相同。重新命名后，附屬Beacon樣本和基礎設施也保持不變。

Sabbath、Arcane和Eruption被追溯到威脅組織 UNC2190，該組織“使用多方面的勒索模型，其中勒索軟件的部署范圍可能非常有限，大量數據被竊取作為杠桿，并且威脅行為者積極嘗試破壞備份。”

該組織過去甚至向其目標的美國學區的教職員工、學生和家長發送電子郵件，以強制付款。

有趣的是，在系統語言中，為避免感染某些國家的受害者而進行的代碼檢查不僅是前蘇聯國家，還有瑞典語、泰語、土耳其語、烏爾都語、印度尼西亞語和越南語。

這似乎表明勒索軟件運營商會竭盡全力避免不必要的警察注意。

Mandiant總結道：“UNC2190在過去一年中繼續運營，同時只對他們的戰略和工具進行了微小的改變，包括引入商業包裝機和重新命名他們的服務產品。”

“這凸顯了Beacon等知名工具如何導致有影響力且有利可圖的事件，即使是在鮮為人知的團體利用的情況下。”