基于联盟的赎金软件模型意味着恶意软件架构师可能保持大
分析本月早些时候是臭名昭着的Gandcrab赎金软件的涉嫌经销商在白俄罗斯被捕关于在世界各地勒索超过1,000名受害者的指控。
据说未命名的31岁男子已经分发了文件加密恶意软件在2017年和2018年间,要求在比特币返回受害者数据的比特币最高为1,500美元。
据检察官介绍,该人是甘特拉布网络犯常运作的联盟。
他们声称他没有创造赎金软件,而是作为一个分销商租来访问管理员面板并发送定制恶意软件活动,以换取任何削减赎金付款。
在Gandcrab的创造者宣布他们正在退休后,逮捕了一年多。
从那时起,另一个可以称之为“Revil”的可观更危险的赎金软件菌株,许多人指控两块恶意软件共享同一架构师。
虽然这是这种情况一次逮捕可以将网络犯常行动发送到地面,专家警告说,鉴于Gandcrab和Revil的联盟模型,创造者可能仍然大。
Gandcrab已发出
Gandcrab于2018年1月首次浮出水面。定位Microsoft Windows设备的恶意软件,加密受害者的文件并要求付款,以便他们恢复被盗数据。
Bitdefender估计该活动在全球范围内针对了超过150万名受害者,而Gandcrab经营者本身则声称在赎金支付中取得超过20亿美元。
对于Gandcrab背后的犯罪团伙知之甚少,但赎金瓶的代码有特定的基于语言的规则集,以确保不会感染俄罗斯和前苏联国家的机器,这表明作者可以来自这一领域。
多个来源支持了这个理论,包括调查记者Brian Krebs谁建议作者是俄罗斯起源。
然而,由于薪水的分发模式,识别竞选背后的人非常困难。
Gandcrab Ransomware被认为是全球感染了超过54,000个设备
Gandcrab在被称为勒索瓶服务(RAAS)模型的内容下操作。这意味着作者通常通过可定制的管理门户销售对客户端的恶意软件,然后是能够进行网络犯罪活动的自定义管理员。
该活动并没有逃避Europol不再赎金项目的注意力继续开发解密工具对于每个新的和改进的gandcrab版本。
2019年6月,经过17个月长的恐怖统治,认为已经导致了超过世界各地的设备,开发商宣布他们是关闭操作以获得良好。
Revil从阴影上升
甘特拉布关闭前几个月,一个新的赎金制造器竞选迅速收集步伐。
被称为'revil',或'sodinokibi',较高款式的受害者包括旅游网络攻击在2019年的新年前夜发生了。
货币兑换被拒绝的黑客脱行,他要求600万美元的返回恢复客户数据。
瑞罗也估算歧视地方政府在2019年8月的德克萨斯州。那个月晚些时候,勒索软件感染了远程数据备份服务在美国牙科实践使用。
在十二月去年,纽约机场是由勒索沃特的目标,同月,主要的美国数据中心提供商Cyrus One摔倒了。
数据,显然被窃取来自我们的人员配置组织Artech信息系统,也是在线发布2020年1月,苏丹基比/ Revil攻击者声称它未能支付赎金。
用于进行勒索软件活动的Gandcrab管理员仪表板的屏幕截图
风险的企业
经保障专家审查后,发现Gandcrab和Revil在其源代码中共享了非凡的相似之处。
Gandcrab正在将额定燃料关闭的宣布实际上是对赎金软件紧张的直接替代,这是吸引了对执法人士过多的不受欢迎的关注。
但是,虽然这两条赎金软件似乎似乎基于相同的代码,但一个专家警告说,这种最新的甘草骤车将对正在进行的速率活动产生任何重大影响。
VMRAY的高级威胁分析师Tamas Boczan曾告诉以来一直跟踪Gandcrab和Revil / Sodinokibi,告诉每日SWbeplay2018官网IG.:“据我们所知,苏丹基比业务不受近期逮捕的影响。”
“Gandcrab被销售为勒索沃特 - As-Servy,这是一个流行的商业模式,它将恶意软件的开发人员与分配恶意软件的附属公司分开。
“SodInokibi是Gandcrab的继承者在某种意义上 - 我们可以确认它很可能根据相同的源代码,并且在2019年底,苏丹基比运营商本身声称他们在其上购买了Gandcrab源代码的论坛帖子附属公司。
“虽然CodeBase可能是一样的,但德罗斯卡比攻击者主要专注于目标攻击,而不是Gandcrab攻击者,他们通常在大多数恶意软件的一生中尝试大规模攻击。”
螃蟹网络钓鱼
虽然Gandcrab的受害者毫无疑问,欢迎逮捕所谓的罪魁祸首,只有时间才会告诉何时 - 何时 - 如果有的话 - 源代码大师员将被搁置。
不幸的是,目前没有免费的解压缩工具可以通过Remedy SodInokibi / Revil感染。但是,通过网络钓鱼攻击是一个主要的向量,对未经请求的电子邮件保持警报是一种防御形式。
对于那些为恶意软件堕落的人,您可以采取一些步骤来减少网络的影响。
“The recommended remediation is to close the gap in defense so the malware doesn’t reinfect the system, then reinstall the infected machine and restore the files from backup if there is any,” suggests Boczan, adding: “Paying the ransom is usually not advised.”
詹姆斯沃克的其他报告
