Dridex恶意软件在被黑客攻击的计算机上部署熵勒索软件

两人之间已经发现了相似之处德里克斯通用恶意软件和一种名为熵这表明，这些运营商正在继续以不同的名称重新命名其敲诈勒索业务。

网络安全公司Sophos在与《黑客新闻》分享的一份报告中说：“类似之处在于用于隐藏勒索软件代码的软件打包机、用于查找和混淆命令（API调用）的恶意软件子程序，以及用于解密加密文本的子程序。”。

这些共同点是在针对一家未具名媒体公司和一个地区政府机构的两起无关事件之后发现的。在这两种情况下，部署熵之前，先用钴打击信标和Dridex感染目标网络，允许攻击者远程访问。

尽管这两次攻击在某些方面具有一致性，但在用于在网络中进行蠕虫攻击的初始访问向量、在每个环境中花费的时间长度，以及用于发起入侵最后阶段的恶意软件方面，它们也存在显著差异。

The attack on the media organization used the ProxyShell exploit to strike a vulnerable Exchange Server with the goal of installing a web shell that, in turn, was utilized to spread Cobalt Strike Beacons on the network. The adversary is said to have spent four months carrying out reconnaissance and data theft, ultimately paving the way for the ransomware attack in early December 2021.

另一方面，对该地区政府组织的第二次攻击是通过一个包含Dridex恶意软件的恶意电子邮件附件进行的，该附件用于部署额外的有效载荷进行横向移动。

值得注意的是，将敏感数据冗余地外泄到多个云存储提供商–；以压缩RAR档案的形式–；在对受损计算机上的文件进行加密之前，在最初检测到一台机器上有可疑登录企图后75小时内发生。

熵勒索软件说明

除了使用AdFind、PsExec和PsKill等合法工具执行攻击外，Dridex和熵样本与之前DoppelPaymer勒索软件感染之间的相关性增加了“共同起源”的可能性

值得指出的是不同恶意软件之间的连接网络。Dridex特洛伊木马是一种窃取信息的僵尸网络，已知是一个多产的俄罗斯网络犯罪组织Indrik Spider（又名邪恶公司）的手工作品。

DopPayPaMeR是由一个名为DoppEl蜘蛛追踪的分裂团体所组成，它利用Indrik Spider开发的分叉恶意代码，包括BitPaymer ransomware，作为其大型猎取操作的基础。

2019年12月，美国财政部批准了邪恶公司，并对两名关键成员马克西姆·雅库贝茨和伊戈尔·图拉舍夫提出刑事指控，此外还宣布对导致他们被捕的任何信息奖励500万美元。英国广播公司于2021年11月进行的一项调查追踪了“据称黑客生活百万富翁的生活方式，很少有机会被逮捕。”

自那以后，这一电子犯罪团伙在这几年中对其勒索软件基础设施进行了多次品牌改造，以绕过制裁，其中主要包括WastedLocker、Hades、Phoenix、PayloadBIN、Great和Macau。熵很可能是这个列表中最新的一个。

这就是说，恶意软件运营商也有可能借用了该代码，要么是为了节省开发工作，要么是为了在虚假标志操作中故意误导归属。

调查结果表明，尽管受到制裁，邪恶集团集群仍在继续推进其交易，不断更新其有效载荷特征、利用工具和初始访问方法，以混淆归属并保持低调。

事实上，SentinelOne的研究人员在一项独立分析中指出了“进化”联系，指出勒索软件的连续变体之间几乎相同的配置、实现和功能，文件加密恶意软件使用了一个名为CryptOne的包装器。

Sophos首席研究员安德鲁·布兰特（Andrew Brandt）说：“在这两起案件中，攻击者都依赖于缺乏尽职调查。这两个目标都有脆弱的Windows系统，缺乏当前的补丁和更新。”。“经过适当修补的计算机，如Exchange Server，将迫使攻击者更加努力地工作，以使他们能够初步进入他们侵入的组织。”

布兰特补充说：“如果要求使用多因素身份验证的话，将给未经授权的用户登录这些或其他机器带来进一步的挑战。”。