一个此前不为人知的勒索软件团伙一直在利用基于Conti黑客组织泄露的源代码的恶意软件攻击俄罗斯企业。

总部位于莫斯科的网络安全公司 FACCT 的研究人员将这个团伙称为“Muliaka”,即英文浑水,该团伙的攻击留下的痕迹极少,但很可能至少自 2023 年 12 月以来就一直活跃。

在 FACCT报告中描述的 1 月份事件中,黑客通过加密 Windows 系统和 VMware ESXi 虚拟基础设施来攻击一家未透露姓名的俄罗斯企业。

为了远程访问受害者的 IT 基础设施,攻击者使用了该公司的虚拟专用网络 (VPN) 服务。为了用勒索软件感染目标网络,攻击者将其伪装成安装在公司计算机上的流行企业防病毒软件。

分析称,与最初的 Conti 恶意软件不同,Muliaka 开发的恶意软件(其名称来自该组织发送的一封网络钓鱼电子邮件)会终止受害者计算机上的进程,并在开始文件加密之前停止某些系统服务。研究人员表示,Muliaka 的变种是“Conti 泄露后创建的其他恶意工具中最有趣的升级之一”。

研究人员无法确定该组织的来源,也没有具体说明所要求的赎金数额或目标公司是否支付了赎金。

FACCT 表示,许多出于经济动机的黑客组织正在利用俄罗斯当前的地缘政治局势加大攻击力度:“有罪不罚和大量不关心其业务网络安全的潜在受害者吸引了贪图快钱的人。”

文章原文链接:https://www.anquanke.com/post/id/295445