身兼軟體供應商與攻擊者 新興勒索軟體集團現形
編譯/鄭智懷
資安公司Trellix於本周稍早發布最新研究報告,揭發新興駭客集團Read The Manual Locker組織運作、風格、攻擊主要目標與手法。分析指出,該勒索軟體集團同時身兼軟體供應商與攻擊者,具有完善的組織架構、作風職業化與低。
Trellix研究員兼報告執筆人Max Kersten表示,Read The Manual Locker的核心宗旨是在不引起外界注目的前提下盡可能營利。因此,在組織運作與作風上,該集團設立層次分明組織架構,並要求附屬單位嚴格遵守上級命令執行或停止行動。為了避免被外界滲透,管理團隊還要求成員登入系統時必須通過包含密碼與驗證碼在內的認證機制,且所有聊天紀錄都必須加密。
值得注意的是,假使成員在十天內都沒有執行登入動作,其帳號將直接被管理團隊刪除。另外,該集團盜取的數據也並未集中管理,而是存放在不同的伺服器上。
在攻擊目標方面,Read The Manual Locker維持一貫的低調風格,通常將重要基礎設施、執法部門、大型企業與醫療單位等排除在外。假使有針對上述目標發起的攻擊行動,也會將一切活動痕跡抹除,並透過加密平台談判。此外,由於Read The Manual Locker主要以俄文與英文和外界溝通,獨立國家國協成員國也不在攻擊範圍之中。
至於在行動與技術層面上,Read The Manual Locker所使用的同名勒索軟體並不利用安全漏洞獲得存取並加密感染設備檔案之權限,而是透過網路釣魚郵件、垃圾郵件、公開系統,或是購買被盜權限資料來控制目標系統。
Max Kersten的研究發現,在引誘受害者批准執行檔案後,該勒索軟體就會開始執行搜尋與加密檔案,以及關閉防毒軟體與備份程序。此外,設計者還為該軟體打造清空資源回收筒、自我刪除、安全日誌等功能,確保受害者無法恢復檔案。
資料來源:Trellix
瀏覽 931 次