黑客组织使用Conti恶意软件集团泄露的勒索软件源代码创建了自己的勒索软件,然后用于在线攻击俄罗斯组织。虽然我们经常听到勒索软件攻击公司并加密数据,但我们很少听到位于俄罗斯的黑客组织受到类似的攻击。由于俄罗斯黑客普遍认为,如果他们不影响俄罗斯的利益,执法部门将对攻击其他国家视而不见。
然而,现在的情况发生了变化,一个被称为NB65黑客组织现在专门针对俄罗斯组织进行勒索软件攻击。
过去一个月,一个叫NB65黑客组织一直在入侵俄罗斯实体,窃取他们的数据,并将其泄露到互联网上,并警告说,这些攻击是由俄罗斯入侵乌克兰造成的。
据说被黑客攻击的俄罗斯实体包括文件管理运营商Tensor,俄罗斯航天局、俄罗斯国有电视和广播公司VGTRK。
对VGTRK这种攻击尤其重要,导致据说786.2GB这些数据被盗,包括90万封电子邮件和4000份文件DDoS Secrets网站上。
最近,NB65黑客转向了一种新的战术--自3月底以来,以俄罗斯组织为目标进行勒索软件攻击。
更有趣的是,黑客组织使用泄漏Conti勒索软件操作的源代码创建了其定制版本的勒索软件,通常禁止其成员攻击俄罗斯实体。
Conti一名安全研究员在攻击乌克兰时泄露了17万条内部聊天信息和他们的行动。
BleepingComputer首先,威胁分析师Tom Malka了解到NB65的攻击,但我们找不到勒索软件的样本,而且该黑客组织也不愿意分享它。
然而,这种情况在昨天发生了变化,NB65修改过的Conti上传勒索软件可执行文件样本VirusTotal,让我们一窥它的操作模式。
几乎所有的杀毒软件供应商都会VirusTotal上的这个样本检测为Conti,Intezer Analyze确定它使用的代码和通常的代码Conti66%的勒索软件样本相同。
BleepingComputer给NB65勒索软件进行了测试,当加密文件时,它会在加密文件的名称后添加.NB65的扩展名。
勒索软件也将在整个加密设备中创建R3ADM3.txt威胁者将网络攻击归咎于总统弗拉基米尔·入侵乌克兰的普京。
"我们密切关注。你们的总统不应该犯战争罪。"NB65说明中写着勒索软件显示。
NB65黑客组织的一名代表说,他们的加密器是基于第一个Conti现有的解密器将无法工作,因为源代码工作。
"修改后,所有版本Conti解密器不能工作。每次部署都会根据我们为每个目标改变的几个变量产生随机密钥。如果你不联系我们,真的没有办法解密。"
目前,NB65他们还没有收到受害者的任何通,并告诉我们他们不期待任何通讯。
至于NB65攻击俄罗斯组织的原因:
"布查大屠杀后,我们选择了一些可能看起来服务于民用市场的公司,但仍将影响俄罗斯的正常运营能力。俄罗斯人对普京战争犯罪的支持是压倒性的。我们从一开始就明确表示。我们支持乌克兰。我们将履行我们的承诺。当俄罗斯停止在乌克兰的所有敌对行动,结束荒谬的战争时,NB65将停止攻击俄罗斯互联网上的资产和公司。"
"我们不会攻击俄罗斯以外的任何目标。Conti和Sandworm这样的组织和其他俄罗斯APT通过勒索软件和供应链攻击多年(Solarwinds或者国防承包商)打击西方。现在是他们自己处理这个问题的时候了。"