对印尼政府服务发动重大攻击背后的威胁行为者只是至少三个其他名字的行动的一个表现形式。
6 月 20 日,一个名为“Brain Cipher”的勒索软件操作锁定了印度尼西亚的国家数据中心,其咬伤力超过了它的能力。这个世界第四大国家开始排起长达数小时的队伍,因为渡轮乘客等待预订系统重新上线,而国际入境者则在护照验证亭前冻结。总共有200多个国家和地方政府机构都感受到了影响。在压力下,在没有付款承诺的情况下,该组织放弃了800万美元的赎金要求,免费发布了解密器。
此后,Group-IB的研究人员研究了Brain Cipher,发现它至少与其他三个组有关,或者可能只是以四个不同的名称运作。这些名称各异的实体一起在全球范围内进行了攻击,但通常没有造成太大后果。
Brain Cipher 的 TTP
Brain Cipher存在的证据只能追溯到它对印度尼西亚政府的攻击。尽管还很年轻,但它已经传播到以色列、南非、菲律宾、葡萄牙和泰国。然而,这并不一定能证明任何程度的复杂性。
它使用的恶意软件基于泄露的 Lockbit 3.0 构建器。它还在至少一名印度尼西亚受害者的案件中使用了Babuk的变种。“使用不同的加密器使威胁行为者能够针对多个操作系统和环境,”Cado Security 的威胁研究主管 Tara Gould 解释说。“不同的加密器可以针对不同的操作系统进行优化,这扩大了潜在目标的范围,最终最大限度地提高了影响。”
它的赎金票据在个性上缺乏什么,它们清晰地弥补了这一点,并提供了有关如何支付数据恢复费用的简短、分步的说明。该过程涉及所有常见的勒索软件陷阱:受害者门户、客户支持服务和泄漏站点。
不过,值得注意的是,该组织没有泄露属于Group-IB追踪的大多数受害者的数据。这导致研究人员得出结论,Brain Cipher 实际上并没有像它承诺的那样泄露数据。
Brain Cipher 的多种身份
Brain Cipher 也在与 opsec 作斗争。它的赎金票据、联系信息和 Tor 网站都与其他所谓的独立组织重叠,包括 Reborn Ransomware、EstateRansomware、SenSayQ 和另一个没有名称的实体,这些文物可以追溯到 4 月。
这些据称独立的行动共同在全球范围内发送了重叠的勒索软件攻击。Reborn统计了中国、法国、印度尼西亚和科威特的受害者,其他组织将法国、香港、意大利、黎巴嫩、马来西亚和美国列入名单。
“以多个名称操作并使用不同的加密器为威胁行为者提供了几个优势,”Critical Start 的网络威胁情报研究分析师 Sarah Jones 解释说。“通过不断发展他们的策略,这些行为者阻碍了安全研究人员和执法部门追踪其活动的能力。使用多个身份会混淆归因,延长调查时间,并能够针对各个行业或地区,而不会对声誉产生影响。
Jones 说:“快速采用新角色的灵活性可以防止在身份泄露的情况下发生运营中断。
发表评论
您还未登录,请先登录。
登录