“目前最危险、最活跃的恶意软件开发商之一”
传播 Noberus 勒索软件的骗子正在向他们的恶意软件中添加武器,以从受感染的网络中窃取数据和凭据。
上个月,人们看到Exmatter数据泄露工具的广泛更新版本与 Noberus 一起用于勒索软件感染,并且使用 Eamfo 检测到至少一个使用 Noberus 的附属公司,Eamfo 是连接到受害者 Veeam 备份的 SQL 数据库的信息窃取恶意软件据赛门铁克威胁搜寻团队的研究人员称,软件安装会存储凭据。
Coreid(被认为是 Noberus 背后的勒索软件即服务 (RaaS) 组织)采用的策略、工具和程序 (TTP) 及其附属机构使得“威胁比以往任何时候都更加危险”和该团伙的“其勒索软件及其附属程序的持续发展表明,这个老练且资源丰富的攻击者无意在短期内去任何地方,”研究人员在周四的一份报告中写道。
Coreid——赛门铁克研究人员称其为“目前最危险和最活跃的勒索软件开发商之一”——对于安全人员来说并不陌生,自 2012 年以来一直存在。不断发展的团队以使用 Carbanak 恶意软件窃取资金而闻名,尤其是在银行、酒店和零售行业。
该团伙的三名成员在 2018 年被戴上项圈,两年后 Coreid 变道并发起了一项 RaaS 操作,其中包括臭名昭著的 Darkside(用于Colonial Pipeline 攻击)和后来的 BlackMatter 勒索软件菌株。
Noberus(也称为BlackCat和 ALPHV)是这些恶意软件系列的继承者。自 2021 年 11 月首次出现以来,Coreid 一直在不断更新 Noberus,在 BlackMatter 退休后不久,勒索软件团伙涉嫌采取行动保持领先于执法部门。
思科的 Talos 威胁情报部门在 3 月深入研究了 BlackCat 及其与 Darkside 和 BlackMatter 的联系。
他们信任 Rust
Noberus 是用 Rust 编写的,Rust 是一种越来越受合法软件和恶意软件开发人员欢迎的编程语言,部分原因在于它的跨平台特性。Coreid 声称,勒索软件可以在一系列操作系统和环境中加密文件,包括 Windows、VMware ESXi、Debian Linux 以及 ReadyNAS 和 Synology 存储。
赛门铁克研究人员写道:“Noberus 操作的不断更新和改进表明,Coreid 正在不断调整其勒索软件操作,以确保其尽可能有效,”并指出 FBI 在 4 月份发出的警告称,全球至少有 60 个组织已被 Noberus 破坏,并且“现在受害者的数量可能是该数量的许多倍”。
6 月份对代码进行了重大更新,其中包括 Arm 系统的加密功能,以及 SAFEMODE,它为其 Windows 构建添加了更多加密功能。
赛门铁克研究人员表示,目前尚不清楚 Coreid 还是 RaaS 附属公司之一自己创建了 Exmatter,“但它与 Coreid 勒索软件 [BlackMatter 和 Noberus] 的两个不同迭代一起使用是值得注意的。它的持续发展也突显了该组织对数据盗窃的关注和勒索,以及这种攻击元素现在对勒索软件攻击者的重要性。”
Exmatter 于 2021 年 11 月首次与 BlackMatter 一起使用。然而,自那以后,数据泄露工具已经进行了大量更新,最新版本 – 被用于 Noberus 攻击 – 减少了它试图窃取的文件类型的数量并添加了一系列新功能。赛门铁克的团队写道,它也被广泛重写,现有功能的实现方式也不同,可能是为了避免被发现。
Eamfo 信息窃取程序至少从 2021 年 8 月就已经存在,并且可能与Yanluowang和LockBit勒索软件系列以及一种名为Monti的新勒索软件变种一起被攻击者使用,研究人员写道,该变种可能基于泄露的 Conti 源代码,由威胁组织 Miner 开发。
Eamfo 连接到受害者的 Veeam 软件的 SQL 数据库,并通过 SQL 查询窃取凭据。众所周知,攻击者会利用 Veeam产品,为他们提供特权升级功能,并使他们能够横向移动通过受害者的网络来攻击更多系统并窃取更多信息。
包括 Eamfo 在内的 Noberus 攻击还使用 GMER,这是一种旧的 rootkit 扫描程序,勒索软件组使用它来杀死受感染系统中的进程。这些团体对 GMER 的使用变得越来越频繁,并且在本月早些时候的蒙蒂攻击中被看到。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Noberus勒索软件获得信息窃取升级,针对 Veeam 备份软件
