新的 Yashma 勒索软件变种针对多个英语国家

至少自 2023 年 6 月 4 日起，未知威胁行为者正在使用 Yashma 勒索软件的变体来针对英语国家、保加利亚、中国和越南的各个实体。

思科 Talos 在一篇新文章中以适度的信心将这次行动归因于可能来自越南的对手。

安全研究员 Chetan Raghuprasad表示：“威胁行为者使用了一种不常见的技术来传递赎金。 ” “他们没有将勒索字条字符串嵌入到二进制文件中，而是通过执行嵌入的批处理文件从攻击者控制的 GitHub 存储库下载勒索字条。”

Yashma于 2022 年 5 月由黑莓研究和情报团队首次描述，是另一种名为 Chaos 的勒索软件的更名版本。在出现前一个月，Chaos 勒索软件构建器被泄露。

勒索字条的一个值得注意的方面是它与著名的 WannaCry 勒索软件相似，这样做可能是为了掩盖威胁行为者的身份并混淆归因工作。虽然该注释提到了付款的钱包地址，但没有具体说明金额。

该网络安全公司表示，勒索软件源代码和构建者的泄露正在导致新勒索软件变种的加速，从而导致更多攻击。

该公司指出：“勒索软件构建者通常有一个用户界面，允许用户选择底层功能并自定义配置来构建新的勒索软件二进制可执行文件，而无需暴露源代码或需要安装编译器。”

“此类构建器的可用性允许新手生成自己的定制勒索软件变体。”

这一发展还发生在勒索软件攻击大幅增加之后，Malwarebytes在过去一年中在美国、德国、法国和英国记录了多达 1,900 起事件，这主要是由“Cl0p 组织的崛起推动的——该组织有效地利用了零日漏洞来放大其攻击。”

Akamai 在相关报告中发现，零日和单日安全漏洞的使用增加导致 2023 年第一季度勒索软件受害者数量与去年同期相比增加了 143%。

该公司表示：“Cl0p 勒索软件组织正在积极开发零日漏洞，其受害者数量同比增长 9 倍。” “多次勒索软件攻击的受害者在第一次攻击后的三个月内遭受第二次攻击的可能性要高出 6 倍以上。”

但威胁形势演变的进一步迹象是，趋势科技披露了TargetCompany （又名 Mallox 或 Xollam）勒索软件攻击的详细信息，该攻击利用名为BatCloak的完全不可检测 (FUD) 混淆器引擎的迭代，通过远程方式感染易受攻击的系统。访问 Remcos RAT 等木马并在目标网络上保持隐秘存在。

该公司表示：“此后，Remcos RAT 将恢复其最后的例行程序，下载并部署仍封装在 FUD 打包程序中的 TargetCompany 勒索软件。”

“FUD 恶意软件的使用已经限制了这种策略的大多数可用解决方案，对于可能容易受到其他攻击（不仅仅是勒索软件）的现成技术来说更是如此。这组加壳器可能在不远的将来不是唯一正在开发的加壳器。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/7724.html