在最近几次勒索软件攻击中部署的新发现的自定义后门与至少一个 RansomHub 勒索软件即服务 (RaaS) 运营附属机构有关。
赛门铁克的研究人员将该恶意软件命名为Betruger,并将其描述为“多功能后门的罕见示例”,很可能是为勒索软件攻击而设计的。
该恶意软件的功能范围广泛,与部署勒索软件负载之前放置的恶意工具中常见的功能重叠,包括键盘记录、网络扫描、权限提升、凭证转储、截图以及将文件上传到命令和控制 (C2) 服务器。
赛门铁克威胁猎人团队表示:“Betruger 的功能表明,它可能是为了在准备勒索软件攻击时尽量减少在目标网络上投放的新工具的数量而开发的。”
赛门铁克威胁猎人团队表示:在勒索软件攻击中,使用除加密有效载荷之外的自定义恶意软件的情况相对少见。大多数攻击者依靠合法工具、自给自足以及公开可用的恶意软件,例如 Mimikatz 和 Cobalt Strike。
Betruger 后门背后的攻击者使用“mailer.exe”和“turbomailer.exe”文件名将其伪装成合法的邮件相关应用程序。
尽管其他勒索软件团伙也开发了定制的恶意工具,但它们的主要目的是帮助从受害者受感染的系统中窃取敏感数据。这些工具包括BlackMatter 的 Exmatter 窃取程序 和BlackByte 的 Exbyte 数据窃取工具,用于将窃取的文件上传到 Mega.co.nz 云存储服务。
RansomHub勒索软件即服务 (RaaS) 行动(以前称为 Cyclops 和 Knight)于一年多前(2024 年 2 月)出现,并且与基于数据盗窃的勒索有关,而不是加密受害者被入侵系统上的数据。
自出现以来,该勒索软件团伙已攻击了多家知名企业,包括石油服务巨头哈里伯顿、佳士得拍卖行、美国电信供应商Frontier Communications、Rite Aid连锁药店、川崎重工欧盟分部、计划生育性健康非营利组织和博洛尼亚足球俱乐部。
在 BlackCat/ALPHV 勒索软件行动的 2200 万美元退出骗局之后, RansomHub 还泄露了 Change Healthcare 被盗的数据,这是近年来最严重的医疗保健违规行为,影响了超过 1.9 亿人。
最近,该公司声称北美最大的美国成瘾治疗提供商BayMark Health Services遭到入侵。BayMark Health Services 在美国 35 个州和加拿大三个省的 400 多个服务点每天为超过 75,000 名患者提供药物辅助治疗 (MAT) 服务。
美国联邦调查局表示,截至 2024 年 8 月,RansomHub 附属机构已入侵美国多个关键基础设施部门(包括政府、关键基础设施和医疗保健)的200 多名受害者。
原文始发于微信公众号(犀牛安全):RansomHub 勒索软件使用新的 Betruger“多功能”后门
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3972414.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论