網路安全研究人员揭露了由 Mikhail Pavlovich Matveev 领导的勒索软件操作的内部运作,Matveev 是一名俄罗斯公民,今年早些时候被美国政府起诉,指控他在全球发动了数千次攻击。
现居圣彼得堡的 Matveev,也被称为 Wazawaka、m1x、Boriselcin、Uhodiransomwar、Orange 和 waza,据称自至少 2020 年 6 月以来在 LockBit、Babuk 和 Hive 勒索软件变种的开发和部署中发挥了关键作用。
瑞士網路安全公司 PRODAFT 在与 The Hacker News 分享的一份综合分析中表示:“Wazawaka 和他的团队成员表现出对勒索支付的贪婪,在他们的网络操作中表现出对道德价值观的极大漠视。”
“他们采用恐吓泄露敏感文件、从事不诚实行为以及即使受害者遵守勒索支付后仍坚持保留文件等战术,体现了传统勒索软件团伙行为中普遍存在的道德真空。”
PRODAFT 的研究结果是通过拦截 2023 年 4 月至 12 月期间与各种勒索软件变种相关的各种威胁参与者之间数千条通信日志而编译的。
据悉,Matawveev 领导了一个由六名渗透测试人员组成的团队 – 777、bobr.kurwa、krbtgt、shokoladniy_zayac、WhyNot 和 dushnila – 执行攻击。该组织采用扁平的组织结构,促进成员之间更好的协作。
PRODAFT 表示:“每个成员根据需要贡献资源和专业知识,展示了在适应新场景和情况方面的 remarkable 灵活性和 adaptability。”
除了担任 Conti、LockBit、Hive、Monti、Trigona 和 NoEscape 的附属公司外,Matveev 还担任了 Babuk 勒索软件团伙的管理层角色,直到 2022 年初,同时与另一个名为 Dudka 的参与者共享所谓的“复杂关系”,Dudka 可能 是 Babuk 和 Monti 背后的开发者。
Matveev 和他的团队发起的攻击涉及使用 Zoominfo 和 Censys、Shodan 和 FOFA 等服务收集有关受害者的信息,利用已知的安全漏洞和初始访问代理来获得立足点,此外还使用混合定制和现成工具来强制破解 VPN 帐户、提升权限并简化他们的攻击活动。
该公司表示:“在获得初始访问权限后,Wazawaka 和他的团队主要使用 PowerShell 命令来执行他们首选的远程监控和管理 (RMM) 工具。特别值得一提的是,MeshCentral 是该团队独特的工具包,经常作为他们各种操作的首选开源软件。”
PRODAFT 的分析进一步揭露了 Matveev 和 Evgeniy Mikhailovich Bogachev 之间的联系,Bogachev 是一名俄罗斯公民,与 2014 年被拆除的 GameOver Zeus 僵尸网络以及 Evil Corp 的开发有关。
值得注意的是,Babuk 勒索软件操作于 2021 年更名为 PayloadBIN,后者与 Evil Corp 相关联,显然是为了规避美国在 2019 年 12 月对其施加的制裁。
PRODAFT 表示:“这种技术关联,再加上 Wazawaka 与臭名昭著的网络犯罪分子 Bogachev 之间的已知关系,表明 Wazawaka、Bogachev 和 Evil Corp 的运营之间存在更深层次的联系。”
原创文章,作者:首席安全官,如若转载,请注明出处:https://www.cncso.com/tw/how-a-russian-hacker-built-a-ransomware-empire.html
