歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

勒索軟件Sodinokibi運營組織的關聯分析

來源:本站整理 作者:佚名 時間:2019-06-28 TAG: 我要投稿

圖 5-2 部分收件人郵箱

圖 5-3 構造的多種釣魚郵件

圖 5-4 整體關聯圖
5.5 攻擊時間分析
2019年4月30日,思科Talos情報小組披露了通過WebLogic Server漏洞傳播的Sodinokibi勒索軟件,并提到攻擊者在部署Sodinokibi的同時也會部署GandCrab V5.2[4]。分析人員對該報告中提到的樣本的時間戳以及2019年5月份通過釣魚郵件傳播的部分Sodinokibi樣本的時間戳進行對比,發現這些樣本的時間戳大都在2018年期間。這說明這場勒索活動至少在2018年就開始策劃了。
表 5-7 不同事件中Sodinokibi樣本事件戳

5.6 小結
通過對網絡IoC部分進行關聯,發現該組織不斷使用開源程序、購買出售程序(KPOT竊密木馬、Linux挖礦、Linux后門),不斷套用、復用其他現有工具、開源程序作為攻擊載體進行牟利。通過和GandCrab的代碼、手法、IP等進行對比分析發現Sodinokibi和GandCrab有著千絲萬縷的聯系,通過大范圍撒網的釣魚郵件來看,該組織在全球范圍實施勒索行為,不具備針對性攻擊操作。
從本文5.2小節中可知,188.166.74.*下掛載Sodinokibi和GandCrab V5.2,45.55.211.*下掛載GandCrab V4、Sodinokibi、Linux后門和挖礦木馬,這些樣本的編譯時間從2018年到2019年都有。思科Talos情報小組在《Sodinokibi ransomware exploits WebLogic Server vulnerability》也提到了攻擊者在部署Sodinokibi的同時也部署了GandCrab V5.2[4]。
通過GandCrab團隊的聲明,可以得知即使受害者購買了密鑰,被加密的數據也無法恢復,因此排除Sodinokibi可能是GandCrab服務購買者的限時變現操作。
綜上所述,猜測Sodinokibi和GandCrab運營成員有重合部分,部分GandCrab成員不愿收手,繼續運營新修改的勒索軟件Sodinokibi。

圖 5-5 GandCrab團隊的聲明(英文版)
6 、總結
從針對Sodinokibi勒索軟件的整體分析關聯來看,該勒索組織具有一定規模,且組內成員分工明確,從投放載體到勒索收益形成一條完整的黑色產業鏈。從大量樣本的時間戳來看,這場勒索行動至少在2018年就開始策劃了。該組織不僅投放勒索軟件、而且還夾帶著竊密木馬、挖礦木馬,即包含勒索、竊取、挖礦等多種惡意行為。Sodinokibi并未針對某一地區或公司亦或是某一領域,它所操作的,是以獲利為目的的大規模的勒索行動。Sodinokibi組織和GandCrab組織有著密切的關聯,分析人員推測Sodinokibi的運營團隊可能包含GandCrab組織的部分成員,現版本的Sodinokibi更像是GandCrab的新變種,Sodinokibi的運營團隊更像是GandCrab組織的接班人。
大部分勒索軟件仍然是使用釣魚郵件和相應漏洞進行傳播。因此,安天CERT建議用戶打好相應漏洞補丁,不要隨意打開郵件附件,并使用防護軟件如安天智甲進行有效防護。
附錄一:IoCs

上一頁  [1] [2] [3] [4] [5] 

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺 中国十大安全理财平台 股票分析报告ppt 广东十一选五 炒股软件排行榜 广东36选7 私募分级基金配资 个人小额投资理财产品 安徽快3 2014 3月股票推荐 有50万元存款如何理财 山西快乐10分 吉林11选5 股票分析图 东北期货配资网 天津快乐10分 18选7