据观察,一名身份不明的威胁行为者来自越南,据观察参与了不晚于 6 月 4 日开始的勒索软件活动,并使用 Yashma 勒索软件的变体,与臭名昭著的 WannaCry 勒索软件有相似之处。
根据思科 Talos 周一发布的一份新公告,此次行动的与众不同之处在于提供赎金的新颖方法。
攻击者不是在恶意软件二进制文件中嵌入勒索字条字符串,而是执行批处理文件从其 GitHub 存储库检索勒索字条。这种策略提供了一定程度的对传统端点安全措施的规避。
Talos 的分析还表明,威胁行为者似乎针对英语国家、保加利亚、中国和越南。与攻击者关联的 GitHub 帐户以与这些地区相关的语言提供勒索信息。
此外,线索表明威胁行为者来自越南。GitHub 帐户的名称和电子邮件联系方式模仿了合法越南组织的详细信息,勒索信中指定了 UTC+7 的联系时间,与越南时区一致。
袭击者还对越南受害者表现出高度的敏感性,以歉意的语气开始勒索赎金。这种微妙的语言差异可能表明攻击者是越南人。
使用的勒索软件变体是 Yashma 的定制版本,攻击者于 2023 年 6 月 4 日编译。这种基于 .NET 的恶意软件保留了 Yashma 的反恢复功能,在加密后删除未加密的文件以阻碍恢复工作。
目前,攻击者要求以比特币向指定的钱包地址支付赎金,如果受害者未能在三天内付款,则勒索软件价格将翻倍。
然而,钱包中尚未发现任何比特币,赎金金额也未明确,这可能表明该活动还处于早期阶段。
IOC
3ea6df18492d21811421659c4cf9b88e64c316f2bef8a19766b0c79012476cac
nguyenvietphat[.]n@gmail[.]com
hxxps[://]github[.]com/nguyenvietphat/Ransomware[.]git转载来源:https://www.infosecurity-magazine.com/news/vietnamese-ransomware-mimics/
图片来源网络侵权可联系删除
