一個黑客組織利用Conti惡意軟件集團泄露的勒索軟件源代碼創建了他們自己的勒索軟件,然後用於對俄羅斯組織進行網絡攻擊。雖然經常聽到勒索軟件攻擊公司並加密數據,但我們很少聽到位於俄羅斯的黑客組織受到類似的攻擊。這種缺乏攻擊的情況是由於俄羅斯黑客普遍認為,如果他們不影響俄羅斯的利益,那麼該國的執法部門將對攻擊其他國家的行為視而不見。
然而,現在情況發生了變化,一個被稱為NB65的黑客組織現在專門以俄羅斯組織為目標進行勒索軟件攻擊。
過去一個月,一個名為NB65的黑客組織一直在入侵俄羅斯實體,竊取他們的數據,並將其泄露到網上,並警告說這些攻擊是由於俄羅斯入侵烏克蘭。
據稱被該黑客組織攻擊的俄羅斯實體包括文件管理運營商Tensor,俄羅斯航天局,以及國有的俄羅斯電視和廣播公司VGTRK。
對VGTRK的攻擊尤其重要,它導致了據稱786.2GB的數據被盜,其中包括90萬封電子郵件和4000個文件,這些數據被公布在DDoS Secrets網站上。
最近,NB65黑客轉向了一種新的戰術–自3月底以來以俄羅斯組織為目標進行勒索軟件攻擊。
更有趣的是,該黑客組織使用泄露的Conti勒索軟件操作的源代碼創建了他們定製版本的勒索軟件,這些來自俄羅斯的網絡安全威脅行為始作俑者通常禁止其成員攻擊俄羅斯的實體。
Conti的源代碼是在他們在攻擊烏克蘭的問題上與俄羅斯站在一起之後泄露的,一位安全研究員泄露了17萬條內部聊天信息和他們行動的源代碼。
BleepingComputer首先通過威脅分析師Tom Malka了解到NB65的攻擊,但我們找不到勒索軟件的樣本,而且該黑客組織也不願意分享它。
然而,這種情況在昨天發生了變化,NB65修改過的Conti勒索軟件可執行文件的樣本被上傳到VirusTotal,讓我們得以一窺它的運作方式。
幾乎所有的殺毒軟件供應商都將VirusTotal上的這個樣本檢測為Conti,Intezer Analyze還確定它使用的代碼與通常的Conti勒索軟件樣本有66%相同。
BleepingComputer給NB65的勒索軟件做了一個測試,當加密文件時,它會在被加密文件的名稱后加上.NB65的擴展名。
該勒索軟件還將在整個加密設備中創建名為R3ADM3.txt的勒索信文本,威脅者將網絡攻擊歸咎於總統弗拉基米爾·普京入侵烏克蘭。
“我們正在密切關注。 你們的總統不應該犯下戰爭罪。”NB65勒索軟件顯示的說明中寫道。
NB65黑客組織的一名代表表示,他們的加密器是基於第一個Conti源代碼的泄漏,但因為改變了算法,所以現有的解密器將無法工作。
“它被修改後,所有版本的Conti解密器都無法工作。每次部署都會根據我們為每個目標改變的幾個變量產生一個隨機的密鑰。如果不與我們聯繫,真的沒有辦法解密。”
目前,NB65還沒有收到他們的受害者的任何通信,並告訴我們他們不期待任何通信。
至於NB65攻擊俄羅斯組織的原因:
“在布查屠殺事件后之後,我們選擇了針對某些公司,這些公司可能看上去是服務於民用市場的,但仍然會對俄羅斯的正常運作能力產生影響。 俄羅斯民眾對普京的戰爭罪行的支持是壓倒性的。 從一開始我們就明確表示。 我們在支持烏克蘭。 我們將兌現我們的承諾。 當俄羅斯停止在烏克蘭的所有敵對行動並結束這場荒謬的戰爭時,NB65將停止攻擊俄羅斯互聯網上的資產和公司。”
“我們將不會攻擊俄羅斯以外的任何目標。 像Conti和Sandworm這樣的組織,以及其他俄羅斯APT多年來一直通過勒索軟件、供應鏈攻擊(Solarwinds或國防承包商)來打擊西方。我們認為現在是他們自己處理這個問題的時候了。”