NoName：如何在 LockBit 阴影下工作的犯罪黑客之间建立联盟

三年多来，NoName勒索软件组织一直试图通过针对世界各地的中小型企业发布勒索软件来建立声誉。

ESET 专家表示NoName现在正在与 RansomHub 合作作为合作伙伴。

黑客使用属于Spacecolon恶意软件家族的自定义工具。

为了渗透网络，网络犯罪分子使用暴力攻击并利用旧的漏洞。

最近，NoName在其武器库中添加了一种新的勒索软件：ScRansom，它取代了Scarab。

研究人员自 2023 年以来一直在追踪该组织的活动，并将其代号为CosmicBeetle。

ESET 强调，尽管ScRansom与其他已知威胁相比复杂性较低，但该勒索软件仍在不断发展并构成威胁。

ScRansom支持不同速度模式的部分加密，为攻击者提供了灵活性。

该程序还会用永久值替换文件内容，从而使恢复变得不可能。

密码学家能够使用所有类型的媒体：本地、远程和可移动。

在加密开始之前，ScRansom 会禁用关键的 Windows 进程和服务，包括Windows Defender、卷影副本和虚拟化相关进程。

ScRansom 加密使用复杂的方案，结合了 AES-CTR-128 和 RSA-1024 算法。

然而，多步骤加密过程有时会导致错误，即使有正确的密钥也可能阻止解密。

在一种情况下，受害者收到了31 个解密密钥，但无法恢复所有文件。

ScRansom 不断发展与其他 CosmicBeetle 工具一样，该病毒本身是用Delphi编写的。

有趣的是，加密需要人工干预才能激活，这使得在自动化沙箱中检测变得困难。

该病毒的最新版本是自动化的，并且需要最少的干预。

ScRansom 攻击所有驱动器上的文件并使用多种加密模式，其中一种会完全破坏数据，使其无法恢复。

除了暴力攻击之外，NoName 还积极利用中小型企业基础设施中最常见的漏洞。

其中包括漏洞VE-2017-0144 (EternalBlue)、CVE-2020-1472 (ZeroLogon)、FortiOS SSL-VPN (CVE-2022-42475)以及 Veeam 和 Active Directory 中的漏洞。

NoName 攻击还通过禁用 Windows 安全功能的特殊脚本来利用CVE-2017-0290漏洞。

该组织让自己出名的尝试不仅限于引入新的勒索软件。

研究人员注意到，CosmicBeetle已开始使用在线泄露的LockBit病毒的源代码来模仿已知犯罪组织的赎金和数据泄露站点 (DLS) 要求。

这有助于说服受害者支付赎金，认为他们正在与更有经验的攻击者打交道。

2023 年 9 月，CosmicBeetle 创建了一个网站，该网站是 LockBit 网站的副本，其中发布的受害者数据不仅受到 NoName 的影响，还受到 LockBit 本身的影响。

11 月，攻击者进一步注册了 lockbitblog [.]info域名并使用 LockBit 品牌进行进一步攻击。

NoName 数据泄露网站

对于缺乏经验的勒索软件组织来说，使用泄露的加密工具（例如 LockBit）是一种常见做法。

这不仅可以帮助他们从知名品牌中受益，还可以获得可靠运行的勒索软件样本。

在一次因实施 ScRansom 尝试失败而开始的事件中，几天后，黑客使用了RansomHub工具，使研究人员能够建议 NoName 与该组织之间可能存在合作关系。

虽然没有明确的合作证据，但 ScRansom 的积极开发和转向使用 LockBit 工具表明 NoName 没有计划停止其运营。

原文始发于微信公众号（网络研究观）：NoName：如何在 LockBit 阴影下工作的犯罪黑客之间建立联盟