黑客伪装为网络安全研究人员进行后续敲诈行为

关键要点

黑客假冒网络安全研究人员，接触Royal和Akira勒索软件的受害者，提供删除被盗文件的服务，需支付费用。这些伪装行为可能来自与最初勒索软件攻击相同的黑客，但尚不明确。Arctic Wolf Labs的研究人员发现，这些后续敲诈活动可能是由同一团体进行的。两起典型案例展示了黑客如何伪装成安全研究人员，声称能够帮助受害者删除被盗数据。

近期，有黑客假冒网络安全研究人员，向Royal和Akira勒索软件团伙的受害者接触，声称可以帮助删除这些团伙盗走的文件，但需支付费用。根据Arctic Wolf Labs的研究，尚不清楚这些伪装的帮助提议是否来自于同一批最初实施勒索软件攻击的犯罪分子。

根据Arctic Wolf的研究人员的观察，似乎是一个团体在展开后续的敲诈活动。在勒索软件团伙中，重新攻击相同受害者的情况并不少见，但Arctic Wolf的高级威胁情报研究员Stefan Hostetler和Steven Campbell表示，他们从未见过黑客假装成合法安全研究人员，主动提供删除被盗数据服务的情况。

案例研究

在Arctic Wolf Labs调查的两个案件中，黑客编造故事，试图帮助受害组织，声称可以入侵原始勒索软件团伙的服务器基础设施以删除被盗数据。以下是两个典型案例：

案例受害者黑客身份提供的服务1Royal勒索软件受害者Ethical Side Group (ESG)声称访问了被盗数据2Akira勒索软件受害者xanonymoux威胁者声称可以删除数据或提供服务器访问

在第一个案例中，自称来自“伦理方集团”的人士在去年十月初联系了一名Royal勒索软件受害者，声称获得了该团伙盗取的数据。一个月后，一名Akira受害者也收到类似的联系，自称为xanonymoux的实体表示已攻陷了Akira的服务器基础设施。

尽管ESG和xanonymoux呈现为两个独立的实体，但两个案件之间的相似性促使Arctic Wolf认为它们可能与同一黑客相关。相似之处包括假装成研究人员、请求约5个比特币约18万美元的报酬、提供被盗数据访问的证明，以及在发送给受害者的电子邮件中使用相似的措辞。

海鸥加速器v6.5.0

深入分析

一种合理的结论是，与Royal和Akira相关的黑客藏身于虚假的实体背后，以重新攻击先前的受害者。然而，研究人员认为，勒索软件生态系统的复杂动态使得该理论难以证实，因为附属黑客可能与多个团伙有关联。

Hostetler和Campbell指出，考虑到勒索软件即服务RaaS的附属黑客往往同时部署多个加密载荷，“理解勒索软件组织复杂的关系网是非常挑战的”。

根据对所谓“网络犯罪零工经济”的分析，Microsoft的威胁情报团队表示，最初入口向量、工具和特定勒索软件类型相关联的载荷选择之间的紧密关系现在不那么明显。

研究人员指出：“RaaS附属模型使得更多犯罪分子即使缺乏技术专长也能使用他人建立或管理的勒索软件，这削弱了这些联系。”

Hostetler和Campbell表示，所调查案件之间的相似元素暗示了同一威胁演员可能推动了后续敲诈活动，试图从之前遭受Royal和Akira勒索软件攻击的组织中敛财。

“然而，目前仍不明确后续的敲诈案件是否得到了最初勒索软件团伙的授权，或者这些威胁者是否单独行动以从受害组织获取额外资金。”