近日，有觀察發(fā)現(xiàn)，新暗網(wǎng)市場工業(yè)間諜正在對受害者設(shè)備進(jìn)行加密并嘗試推出自己的勒索計劃。此前，Industrial Spy并沒有對受攻擊的公司進(jìn)行敲詐，而是將自己宣傳為一個市場，公司可以在其中購買競爭對手的數(shù)據(jù)來獲取商業(yè)機(jī)密、制造圖紙、會計報告和客戶數(shù)據(jù)庫。

IndustrialSpy市場提供不同級別的數(shù)據(jù)產(chǎn)品，其中“高級”被盜數(shù)據(jù)包價值數(shù)百萬美元，而較低級別的數(shù)據(jù)甚至可以作為單個文件以低至2美元的價格出售。例如，Industrial Spy目前正在以140萬美元的價格出售一家印度公司的高級別數(shù)據(jù)，以比特幣支付。

為了推廣他們的服務(wù)，攻擊者會與廣告軟件加載程序和假破解網(wǎng)站合作來傳播惡意軟件，這些惡意軟件會在設(shè)備上創(chuàng)建REA DME.txt文件，而這些文件中正包含了推廣信息。

工業(yè)間諜加入勒索軟件大軍

上周，安全研究小組Malware Hunter Team發(fā)現(xiàn)了一個新的Industrial Spy惡意軟件樣本，然而這次看起來更像是勒索信，而不是推廣的文本文件。這封勒索信稱工業(yè)間諜的攻擊者不僅竊取了受害者的數(shù)據(jù)而且還對其進(jìn)行了加密。

"非常不幸，我們不得不通知您，您的公司正面臨著威脅，所有的文件都被加密，而沒有我們的私鑰您將無法將其恢復(fù)。如果您試圖在沒有我們幫助的情況下自行恢復(fù)，很可能會導(dǎo)致這些數(shù)據(jù)完全丟失"，勒索信中這樣寫道，"此外，我們研究了您整個公司的網(wǎng)絡(luò)，并已將所有敏感數(shù)據(jù)下載到我們的服務(wù)器上。如果在未來3天內(nèi)沒有收到您的任何回復(fù)，我們將在工業(yè)間諜網(wǎng)站上公布您的數(shù)據(jù)。"

經(jīng)研究人員測試顯示，Industrial Spy確實對文件進(jìn)行加密，但不同于大多數(shù)其他勒索軟件家族，它不會在加密文件的名稱上附加新的擴(kuò)展名，如下所示。

勒索軟件專家Michael Gillespie對此進(jìn)行了解讀，他一眼就認(rèn)定它使用的是DES加密，RSA1024公鑰加密。

該勒索軟件還使用了0xFEEDBEEF的文件標(biāo)記，這是在別的勒索軟件家族中從未見過的。當(dāng)然，我們不應(yīng)該把這個文件標(biāo)記與在編程中使用的那個著名的神奇調(diào)試值0xDEADBEEF混淆。

在加密文件的同時，Industrial Spyle索軟件在設(shè)備上每個文件夾中都會創(chuàng)建名為“README.html”的勒索記錄，這些勒索記錄包含一個TOX id，受害者可以使用它來聯(lián)系勒索軟件團(tuán)伙并協(xié)商贖金。

或與勒索團(tuán)伙Cuba有關(guān)聯(lián)？

當(dāng)研究勒索信中的TOX ID和電子郵件地址時，Malware Hunter Team小組發(fā)現(xiàn)了一個Industrial Spy與勒索團(tuán)伙Cuba的奇怪聯(lián)系。

上傳到VirusTotal的勒索軟件樣本會創(chuàng)建一個帶有相同TOX ID和電子郵件地址的勒索記錄。但是，它沒有鏈接到Industrial SpyTor的站點，而是鏈接到勒索團(tuán)伙Cuba的數(shù)據(jù)泄露網(wǎng)站并使用相同的文件名。眾所周知，!!!!.讀我

txt，是勒索團(tuán)伙Cuba的贖金票據(jù)。另外還有一點值得一提，加密文件還附加了.Cuba擴(kuò)展名，就像平時勒索團(tuán)伙Cuba在加密文件時所做的那樣。

雖然這并不能百分百肯定地將這兩個組織聯(lián)系在一起，但研究人員推測很可能Industrial Spy的攻擊者在測試他們的勒索軟件是使用了勒索團(tuán)伙Cuba的信息。

這還有待安全研究人員和分析人士繼續(xù)保持密切關(guān)注與進(jìn)一步的探索。

參考來源：https://www.bleepingcomputer.com/news/security/industrial-spy-data-extortion-market-gets-into-the-ransomware-game/