四起勒索病毒攻击的行为特征分析

关键要点

Sophos XOps 在2023年第一季度观察到四起勒索病毒攻击的特定行为，显示出这些攻击之间的意外联系。这种行为特征被称为 威胁活动集群，为追踪攻击者行为提供了关键线索。了解攻击者的行为模式能为防御者提供早期预警，帮助应对即将来临的攻击。该威胁活动集群暗示了 Royal 勒索病毒可能与外部附属人员合作，显示出其在招募方面可能的变化。这一集群已与其他勒索病毒攻击，如 Kroll 报告的 Cactus 勒索病毒攻击相关联。

威胁活动集群的潜在联系

我们通过对四起目标的攻击进行事后调查发现，攻击者在行为上有很多相似之处。具体而言：

攻击者在控制的域控制器上创建了具有行政权限的账户，并使用特定的用户名和复杂密码。持续使用相同名称和方式安装其工具。使用相同的预部署批处理脚本准备勒索病毒的部署。

在其中两起攻击中，使用了被称为 Royal 的勒索病毒，这个团伙通常不向外界开放其附属人员合伙工作。

向归属推动的一步

勒索病毒攻击者通常会重用相同工具、技术和流程。通过不同的攻击相似行为，Sophos 能够建立行为模式，并观察到以下特征：

行为特征示例初始访问通过暴力破解互联网开放的远程桌面接口用户创建使用 netexe 创建带有特定用户名和密码的管理员账户持续性方法通过任务计划创建新的任务最终负载使用以目标组织命名的 7z 文件进行攻击

重复使用的文件、密码和名称

通过对攻击日志的分析，Sophos 识别出攻击者在不同事件中使用了相似的文件和脚本。具体来说：

使用相同的批处理文件和文件名file1bat 设定系统以指定用户的身份自动登录并执行后续任务file2bat 解压并执行勒索病毒二进制文件攻击者创建了一些带有特定用户名和密码的恶意用户账户。

威胁行为演进的检测

通过对 Royal、Black Basta 和 Hive 三种勒索病毒的多起攻击进行分析，Sophos 发现了这些攻击之间的威胁行为集群特征。例如，Royal 的攻击采用了与其他两种病毒相似的初步感染手段，但在使用方法上有所差异。

这些相似性和差异并未降低追踪和发现这些攻击的难度。攻击者的手法在不断进化，Sophos 团队认真分析这些行为变化，反过来可以帮助我们预防未来的攻击事件。

外网加速npv下载

结论

追踪攻击活动集群为网络安全公司在应对大规模攻击提供了重要的洞察力。Sophos 使用从这些分析中获取的情报，持续改善防御措施，以帮助客户应对日益复杂的网络威胁。

作者 Andrew Brandt Matt Wixey

特别鸣谢

Sophos XOps 感谢来自动响应团队和管理检测响应团队的所有贡献者。