Sabbath勒索软件团伙多次更名以逃避检测(2021.12.10)

据威胁情报公司Mandiant称，一家以医疗保健和教育部门组织为目标的中型勒索软件组织在过去一年中多次更名，以避免受到监视。Mandiant表示，54BB47h（Sabbath）组织在9月份为附属合作伙伴做广告时首次出现在雷达上。对于勒索软件组织来说，不同寻常的是，它为这些附属机构提供了他们自己预先配置的Cobalt Strike Beacon后门有效载荷。虽然这对Mandiant的归因工作构成了挑战，但也为其调查提供了一个起点。进一步调查显示，Sabbath公开披露的勒索博客与Arcane和Eruption相关的博客几乎完全相同，甚至有相同的语法错误，重新命名后，附属Beacon样本和基础设施也保持不变。完整报告可在https://www.infosecurity-magazine.com下载。

国家计算机病毒应急处理中心建议广大计算机用户加强安全防范意识，做好日常备份（最好是异地备份），不要访问包含未知风险的网站或打开不明来历的电子邮件附件，保持开启杀毒软件实时监控功能，并持续关注我中心网站上关于勒索软件的有关资讯。

以上资讯由北京安天公司提供，国家计算机病毒应急处理中心研发部编译整理