详细内容或原文请订阅后点击阅览
Cicada 勒索软件可能是 BlackCat/ALPHV 的品牌重塑和升级
无
来源:Packet Storm _恶意软件CICADA3301勒索软件自6月被发现以来至少有20名受害者,与臭名昭著的BlackCat勒索软件共享了“惊人的相似之处”。
MorphiSec的威胁情报团队周二发布了对CICADA3301的分析,该分析声明它是在Rust中编码的,就像BlackCat一样。
分析 就像BlackCatCICADA与BlackCat共享其他特征,包括它如何尝试删除Windows Server可以创建以创建有用文件的时间点副本的影子副本。删除这些副本可能会使勒索软件恢复更加困难。恶意软件操纵Windows的音量快照服务(VSSADMIN),该服务有助于创建阴影副本,然后在Windows Management Instrumentation(WMI)上调用。它还使用“ BCDEDIT”公用事业公司的设计机,以防止受害者恢复加密系统。
morphisec还发现了自定义,例如将损坏的用户凭据嵌入勒索软件中,然后使用更名为Sysinnternals Remote Management Management工具(称为PSEXEC)使用有效的凭据执行恶意软件。
psexec
”虽然勒索软件的注释和勒索软件加密是根据受害者进行自定义的,但在勒索软件中集成的凭证是一种新的自定义级别,”研究人员在报告[PDF]中写道。
报告喜欢拼图
勒索软件以2012年至2014年在网上发布的三个难题而命名。第三个尚未解决,并且难题的创建者仍然是一个谜 - 就像CICADA3301勒索软件的开发人员一样。
三个难题morphisec对勒索软件的技术分析还包括妥协的指标。这特别有用,因为开发人员继续改善恶意软件的反检测功能。
0 由Crowdstrike Falcon标记 24检测 寄存器