深入分析Ransomware-as-a-Service的演变:Vice Society到Rhysida
关键要点
- 许多网络攻击者在使用不同变种的勒索软件,但它们的战术、工具和程序(TTPs)保持一致。
- Sophos X-Ops跟踪网络攻击活动,以识别攻击者行为模式,不论具体饮用的勒索软件变种。
- 最近的案例显示,一组勒索软件联属组织从使用Vice Society转向了Rhysida,尽管如此,它们的核心攻击策略仍然保持一致。
- 防止此类攻击的关键在于启用多因素认证(MFA)和应用控制策略。
在Ransomware-as-a-
Service(RaaS)的世界里,现如今有数十个联盟团体在使用相同的勒索软件系列,并在部署的变种间切换。考虑到这种攻击者的灵活性,SophosX-Ops的目标是追踪和聚合威胁活动,以帮助我们确定攻击者行为的模式,而不考虑所使用的勒索软件变种。在最近的一篇博客文章中,我们识别到一个威胁活动聚类(TAC),该聚类在数个月间部署了多种不同的勒索软件变种,包括Hive、BlackBasta和Royal,且在各种入侵中使用相同的TTP模式。
事件概述
我们在本文中的分析是基于六个案例的数据,具体信息见下表:
勒索软件部署日期 | 勒索软件 | 受害者情况 | 首次观察到的活动 | 滞留时间 | 恶意软件 | 工具
—|—|—|—|—|—|—
2022年11月 | Vice Society | 政府/物流 | VPN认证(无MFA) | 5天 | PortStarter | 高级IP扫描器、PuTTY、temp_l0gs(凭证转储)、RDP、AnyDesk、MegaSync、WinSCP
2023年2月 | Vice Society | 物流 | VPN认证(无MFA) | 112天 | PortStarter | 高级端口扫描器、PuTTY、temp_l0gs(凭证转储)、RDP、AnyDesk、MegaSync、ZeroLogon
2023年4月 | Vice Society | 教育 | VPN认证(无MFA) | 17天 | PortStarter SystemBC | 高级IP扫描器、AnyDesk、temp_l0gs(凭证转储)、RDP
2023年5月 | Vice Society | 制造业 | VPN认证(无MFA) | 4天 | PortStarter | 高级端口扫描器、Secretsdump、ZeroLogon、AnyDesk、PuTTY、RDP、MegaSync、7zip、WinSCP
2023年6月 | Rhysida | 物流 | VPN认证(无MFA) | 5天 | SystemBC | PuTTY、MegaSync、RDP、7zip、WinSCP
2023年6月 | Rhysida | 教育 | 未知 | 未知 | SystemBC | AnyDesk
背景
Sophos将这一攻击者行为聚类称为TAC5279,此活动与所追踪的活动聚类(VanillaTempest)有重叠。据悉,Sophos于2022年11月首次观察到这一活动聚类,目标为政府物流领域的客户,使用了。Sophos一直看到这个威胁行为者对教育、制造和物流等领域的组织部署ViceSociety勒索软件,直到2023年6月,Sophos检测到同一威胁行为者开始使用攻击物流和教育领域的两家不同
