[[438247]]

據(jù)securityaffairs消息，威脅情報(bào)公司Mandiant發(fā)現(xiàn)了一個(gè)名為 Sabbath(又名 UNC2190)的勒索軟件組織，從今年6月開(kāi)始，Sabbath就一直針對(duì)美國(guó)和加拿大的關(guān)鍵基礎(chǔ)設(shè)施展開(kāi)攻擊。

研究人員認(rèn)為“Sabbath”組織之前都在以Arcane和Eruption的名義運(yùn)作，后者在去年被部署了ROLLCOAST勒索軟件。

2021年9月，安全專(zhuān)家注意到exploit.in黑客論壇上的一個(gè)帖子，某個(gè)不知名的勒索團(tuán)伙企圖尋找合作伙伴。從2021年10月21日開(kāi)始，該團(tuán)伙就以“54BB47h(安息日)”的名義開(kāi)始活動(dòng)，并注冊(cè)了相應(yīng)的網(wǎng)站和博客。

同月，勒索軟件團(tuán)伙攻擊了美國(guó)某學(xué)區(qū)的系統(tǒng)，并要求受害者支付數(shù)百萬(wàn)的贖金。

與其他勒索軟件操作手段不同的是，安息日背后運(yùn)營(yíng)者為其附屬機(jī)構(gòu)提供了預(yù)配置的 Cobalt Strike BEACON 后門(mén)負(fù)載。使用BEACON 是勒索軟件入侵的常見(jiàn)做法。雖然這一做法給溯源工作構(gòu)成了挑戰(zhàn)，但同時(shí)也為進(jìn)一步檢測(cè)提供了線索。

自此之后，威脅情報(bào)公司Mandiant開(kāi)始主動(dòng)識(shí)別過(guò)去類(lèi)似BEACON的基礎(chǔ)設(shè)施以及惡意軟件數(shù)據(jù)庫(kù)，經(jīng)過(guò)分析，Mandiant將新的Sabbath組織與之前的Arcane和Eruption勒索活動(dòng)聯(lián)系起來(lái)。

進(jìn)一步調(diào)查顯示，安息日公開(kāi)披露的勒索博客和Arcane的博客幾乎完全相同。在重命名后，附屬BEACON樣本和基礎(chǔ)設(shè)施也保持不變。

研究發(fā)現(xiàn)，Sabbath 勒索軟件團(tuán)伙的目標(biāo)是關(guān)鍵基礎(chǔ)設(shè)施，涉及美國(guó)和加拿大的教育、衛(wèi)生和自然資源的相關(guān)單位和機(jī)構(gòu)。

參考來(lái)源：https://securityaffairs.co/wordpress/125154/cyber-crime/sabbath-ransomware.html