8Base Group 通过 SmokeLoader 部署新的 Phobos 勒索软件变体插图

2019 年以来,网络安全社区一直密切关注着 8Base 勒索软件背后的威胁行为者。最新报告显示,该组织正在利用 Phobos 勒索软件的变体进行出于经济动机的攻击,并且使用 SmokeLoader 后门木马来分发勒索软件

火卫一勒索软件的特征

根据 Cisco Talos 的研究,火卫一勒索软件的特征包括使用 SmokeLoader 后门木马作为启动板、对文件进行完全或部分加密以及硬编码的 RSA 密钥来保护文件 AES 密钥。此外,它还包含有 70 多个选项的配置,用于实现用户帐户控制绕过和向外部 URL 报告受害者感染等功能。

Phobos 勒索软件的演变

火卫一勒索软件是 Dharma 勒索软件的演变,通过 VirusTotal 发现的样本数量显示其主要表现为 Eking、Eight、Elbie、Devos 和 Faust 变种。这些样本大多具有相同的源代码,但会根据部署的变体略有不同。

勒索软件的商业化趋势

Phobos 被视为勒索软件即服务(RaaS),受到中央机构的密切管理并定期更新。此外,威胁行为者正在宣传一种名为 UBUD 的复杂勒索软件产品,对虚拟机和调试工具具有强大的反检测措施。

威胁行为者的新动向

除了技术手段的更新,威胁行为者还在采取新的压力策略,例如向企业施加不寻常的压力,改变政府法规以谋求自身利益,并制定新的谈判规则以获得更高的赎金请求。这些动向都表明威胁行为者的行动日益多样化和商业化。

以上报道显示了网络安全领域持续不断的挑战,我们需要密切关注并采取适当的防范措施来应对不断演进的威胁。