網(wǎng)絡(luò)安全研究人員揭示了一個由相互關(guān)聯(lián)的勒索軟件毒株組成的復(fù)雜網(wǎng)絡(luò)，這些毒株的起源可以追溯到一個共同的源頭，Adhubllka勒索軟件家族。

該研究由Netenrich的網(wǎng)絡(luò)安全分析師進行，深入研究了各種勒索軟件變種的血統(tǒng)，包括LOLKEK、BIT、OBZ、U2K和TZW。研究人員觀察到，這些看似不同的勒索軟件在代碼庫、策略和基礎(chǔ)設(shè)施方面有著顯著的相似之處。

通過追蹤這些毒株的進化，研究人員能夠建立一種譜系關(guān)系，將它們與最初的Adhubllka勒索軟件聯(lián)系起來，該勒索軟件于2020年1月首次出現(xiàn)。

Netenrich強調(diào)，Adhubllka勒索軟件家族經(jīng)歷了多次迭代，每次都對加密方案、贖金單和通信方式進行了輕微修改。

這種做法是網(wǎng)絡(luò)罪犯逃避偵查的常用策略。研究人員還指出，重復(fù)使用代碼和策略可能導(dǎo)致錯誤分類，這使得調(diào)查人員考慮代碼相似性之外的多個參數(shù)變得至關(guān)重要。

這項研究的一個關(guān)鍵方面是分析勒索軟件運營商使用的贖金和通信渠道。研究人員發(fā)現(xiàn)了從v2 Tor洋蔥url到v3 Tor url的進展，以及通信方法的轉(zhuǎn)變。盡管策略不斷演變，但研究人員發(fā)現(xiàn)了將所有變體與Adhubllka家族聯(lián)系起來的一致模式。

Netenrich的高級威脅分析師Rakesh Krishnan解釋說：“通過建立端點安全解決方案，我們可以在一定程度上阻止攻擊。然而，當(dāng)勒索軟件剛剛形成編碼時，它只能通過基本的安全教育來阻止，比如不要點擊通過電子郵件傳遞的惡意鏈接?！?/strong>

然而，重要的保護措施首先來自于防止威脅行為者將勒索軟件帶入環(huán)境，這意味著要尋找行為異常、特權(quán)升級以及將可疑的可移動媒體引入環(huán)境。

Krishnan總結(jié)說：“雖然Adhubllka勒索軟件家族可能會重新命名，新的綽號可能會出現(xiàn)，但威脅參與者使用的獨特通信模式將保持一致。只要威脅行為者不改變他們的溝通方式，我們就能將所有此類案件追溯到阿杜布爾卡家族?！?/strong>

標(biāo)簽：