首页 > 安全 > 正文

Sophos将熵赎回器链接到Dridex恶意软件。都与邪恶的公司联系起来?

最后更新 :2022.02.24

最近出现的熵赎回器的代码与臭名昭着的Riddex恶意软件之一具有相似之处。

最近出现的熵赎金软件与流行的Dridex恶意软件有代码相似度。

来自Sophos的专家分析了两个不同攻击中所采用的熵赎金的代码。

在不同组织中的一对事件,其中攻击者部署了一个名为ransomware的ransomware;熵 entropy在使用远程访问 - 钴串信标和Dridex恶意软件中提供了攻击者的工具之前在攻击者推出赎金软件之前,目标的计算机。这也用于分发其他恶意软件。

在两次攻击中S,Endpoint Protection Solutions检测到威胁,根据专家们通过创建的签名检测到熵通过创建的封装代码来检测到威胁,以检测DRIDEX所采用的包装器代码。 Sophoslabs研究人员也注意到了一些在熵用于隐藏其行为的其他子程序中与DRIDEX中相同函数的子程序类似。

熵使用的包装器在两个阶段中工作,以解压缩程序代码。在第一阶段,它分配存储器空间,在其中复制加密数据,其内容由包装器执行。然后,在第二阶段中,封隔器将代码解密到另一部分相同的内存分配的部分,其中存储加密数据,然后将执行传送到该第二层
Entropy ransomware
“指示的指令熵执行unpacking的第一个“图层”与查看包装商代码的分析师以及par的分析师相似Ticular是指一个名为API的部分,称为NBSP; LDRLoadDLL  - 并且该子程序的行为描述为“非常类似于DRIDEX v4装载机”,并将其与DRIDEX示例从2018年使用的类似装载者进行比较。继续报告。有问题的行为已经在其他供应商的研究中突出显示了关于Dridex的研究。具体而言,它正在寻找一个名为&nbsp的dll;
snxhk.dll

,它是另一家公司的端点安全产品的内存保护组件,为了破坏这种保护。“

DOPPELPAYMER和DEDIDEX都归因于称为邪恶公司的网络犯罪团伙的运作,该公司于10月份推出了一个名为MACAW Locker的新赎金瓶,以避免美国制裁,以防止受害者制定赎金付款。

邪恶的公司网络犯罪集团(AKA The Dridex Gang  Indrik Spider,The  Gang,And  TA505)自2007年以来一直活跃在网络犯罪活动中。该集团通过开发和分销臭名昭着的Dridex银行木匠开展业务然后,它通过用&nbsp感染受害者的计算机网络转换为勒索软件操作; BitPaymer 赎金瓶。

2019年,美国司法部(Doj)已收取俄罗斯公民Maksim V. (32)和Igor Turashev(38)用于分发臭名昭着的  Dridex Banking Trojan,以及他们参与国际银行欺诈和计算机黑客计划。

美国政府宣布为将支持邪恶公司受害者的赎金软件谈判公司制裁在赎金付款中。

由于这些制裁,邪恶的公司推出了几个赎金软件运营,这些赎金持有的赎金株式会器,例如 wastedlocker, hades,&nbSP;凤凰储物柜和有效负载。易受更新的Windows系统。

- END -

    数据加载中,请稍后...
看更多