一個黑客組織利用Conti惡意軟件集團泄露的勒索軟件源代碼創(chuàng)建了他們自己的勒索軟件，然后用于對俄羅斯組織進行網(wǎng)絡(luò)攻擊。雖然經(jīng)常聽到勒索軟件攻擊公司并加密數(shù)據(jù)，但我們很少聽到位于俄羅斯的黑客組織受到類似的攻擊。這種缺乏攻擊的情況是由于俄羅斯黑客普遍認為，如果他們不影響俄羅斯的利益，那么該國的執(zhí)法部門將對攻擊其他國家的行為視而不見。

然而，現(xiàn)在情況發(fā)生了變化，一個被稱為NB65的黑客組織現(xiàn)在專門以俄羅斯組織為目標(biāo)進行勒索軟件攻擊。

過去一個月，一個名為NB65的黑客組織一直在入侵俄羅斯實體，竊取他們的數(shù)據(jù)，并將其泄露到網(wǎng)上，并警告說這些攻擊是由于俄羅斯入侵烏克蘭。

據(jù)稱被該黑客組織攻擊的俄羅斯實體包括文件管理運營商Tensor，俄羅斯航天局，以及國有的俄羅斯電視和廣播公司VGTRK。

對VGTRK的攻擊尤其重要，它導(dǎo)致了據(jù)稱786.2GB的數(shù)據(jù)被盜，其中包括90萬封電子郵件和4000個文件，這些數(shù)據(jù)被公布在DDoS Secrets網(wǎng)站上。

最近，NB65黑客轉(zhuǎn)向了一種新的戰(zhàn)術(shù)--自3月底以來以俄羅斯組織為目標(biāo)進行勒索軟件攻擊。

更有趣的是，該黑客組織使用泄露的Conti勒索軟件操作的源代碼創(chuàng)建了他們定制版本的勒索軟件，這些來自俄羅斯的網(wǎng)絡(luò)安全威脅行為始作俑者通常禁止其成員攻擊俄羅斯的實體。

Conti的源代碼是在他們在攻擊烏克蘭的問題上與俄羅斯站在一起之后泄露的，一位安全研究員泄露了17萬條內(nèi)部聊天信息和他們行動的源代碼。

BleepingComputer首先通過威脅分析師Tom Malka了解到NB65的攻擊，但我們找不到勒索軟件的樣本，而且該黑客組織也不愿意分享它。

然而，這種情況在昨天發(fā)生了變化，NB65修改過的Conti勒索軟件可執(zhí)行文件的樣本被上傳到VirusTotal，讓我們得以一窺它的運作方式。

幾乎所有的殺毒軟件供應(yīng)商都將VirusTotal上的這個樣本檢測為Conti，Intezer Analyze還確定它使用的代碼與通常的Conti勒索軟件樣本有66%相同。

BleepingComputer給NB65的勒索軟件做了一個測試，當(dāng)加密文件時，它會在被加密文件的名稱后加上.NB65的擴展名。

該勒索軟件還將在整個加密設(shè)備中創(chuàng)建名為R3ADM3.txt的勒索信文本，威脅者將網(wǎng)絡(luò)攻擊歸咎于總統(tǒng)弗拉基米爾·普京入侵烏克蘭。

"我們正在密切關(guān)注。 你們的總統(tǒng)不應(yīng)該犯下戰(zhàn)爭罪。"NB65勒索軟件顯示的說明中寫道。

NB65黑客組織的一名代表表示，他們的加密器是基于第一個Conti源代碼的泄漏，但因為改變了算法，所以現(xiàn)有的解密器將無法工作。

"它被修改后，所有版本的Conti解密器都無法工作。每次部署都會根據(jù)我們?yōu)槊總€目標(biāo)改變的幾個變量產(chǎn)生一個隨機的密鑰。如果不與我們聯(lián)系，真的沒有辦法解密。"

目前，NB65還沒有收到他們的受害者的任何通信，并告訴我們他們不期待任何通信。

至于NB65攻擊俄羅斯組織的原因：

"在布查屠殺事件后之后，我們選擇了針對某些公司，這些公司可能看上去是服務(wù)于民用市場的，但仍然會對俄羅斯的正常運作能力產(chǎn)生影響。 俄羅斯民眾對普京的戰(zhàn)爭罪行的支持是壓倒性的。 從一開始我們就明確表示。 我們在支持烏克蘭。 我們將兌現(xiàn)我們的承諾。 當(dāng)俄羅斯停止在烏克蘭的所有敵對行動并結(jié)束這場荒謬的戰(zhàn)爭時，NB65將停止攻擊俄羅斯互聯(lián)網(wǎng)上的資產(chǎn)和公司。"

"我們將不會攻擊俄羅斯以外的任何目標(biāo)。 像Conti和Sandworm這樣的組織，以及其他俄羅斯APT多年來一直通過勒索軟件、供應(yīng)鏈攻擊(Solarwinds或國防承包商)來打擊西方。我們認為現(xiàn)在是他們自己處理這個問題的時候了。"