点击上方蓝字·关注我们
Cyble 研究与情报实验室 (CRIL) 的网络安全研究人员发现了一种名为 Trinity 的新勒索软件变种,该变种采用双重勒索策略,并与先前确定的 Venus 勒索软件有潜在联系。
本文探讨了有关 Trinity 勒索软件的发现,以及 Trinity 和 Venus 勒索软件菌株之间注意到的相似之处。
揭示 Trinity 勒索软件的战术和技术细节
CRIL 研究人员观察到一种名为 Trinity 的新勒索软件变种,该变种采用常见的双重勒索策略,例如在加密之前从受害者的系统中窃取数据,并打算在他们的操作中使用支持和泄漏站点。
支持站点允许受害者上传大小小于 2MB 的示例文件进行解密,而泄漏站点虽然目前是空的,但可能会暴露受害者数据。
在调查的初始阶段,研究人员观察到 Trinity 勒索软件与自 2024 年初以来一直活跃的 2023Lock 勒索软件之间存在相似之处。两种变体之间的深度相似性(例如相同的赎金记录和代码)表明 Trinity 可能是 2023Lock 勒索软件的较新变体。
研究人员注意到勒索软件操作中有一个复杂的执行过程,例如在其二进制文件中搜索赎金记录,如果文件不可用,则立即终止。勒索软件收集系统信息,例如处理器计数、线程池和现有驱动器,以准备其多线程加密过程。
然后,勒索软件通过冒充合法进程的令牌供自己使用来尝试权限提升,从而使勒索软件能够绕过安全措施。勒索软件在横向移动的同时部署网络枚举活动,展示了广泛的攻击能力。
Trinity 变体采用 ChaCha20 算法来加密受害者文件。加密后,文件名会附加“.trinitylock”,而赎金记录则以文本和 .hta 格式保留。勒索软件还会将桌面壁纸修改为勒索软件注释,并使用特定的注册表项来促进此更改。
Trinity Ransomware 和 Venus Ransomware 之间的相似之处
Trinity 和 Venus 之间的联系不仅仅是赎金记录和注册表使用方面的相似之处。
Venus 是一家具有全球影响力的成熟勒索软件行动,于 2022 年年中左右出现。Venus 和 Trinity 之间的相似之处还在于它们使用相同的注册表值以及互斥锁命名约定和代码库的一致性。
此外,两种勒索软件变体使用的赎金票据都表现出相似的格式。共同的策略和技术表明两个团体之间可能存在合作。这种合作可能会导致技术、工具和基础设施的交流,从而扩大未来勒索软件活动的规模和复杂性。
CRIL研究人员建议组织保持警惕并实施强有力的网络安全措施,以防范这些不断变化的威胁。
*文章消息参考来源:Researchers Link Trinity Ransomware To Venus Ransomware (thecyberexpress.com)
原文始发于微信公众号(信息安全ISecurity):【安全资讯】研究人员观察到 Trinity 和 Venus 勒索软件之间的潜在联系
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论