Ransom Cartel：新崛起的勒索病毒集团

关键要点

Ransom Cartel 是一种勒索病毒即服务RaaS组织，采用双重勒索攻击策略，技术上与 REvil 勒索病毒有相似之处。Unit 42 研究人员分析了其运行方式，并指出该集团似乎曾与 REvil 组织有联系。Ransom Cartel 通常通过被盗凭证获取初始访问权，目标包括教育、制造、能源等行业。这种新兴勒索组织利用IT工具来迷惑反制措施，增加安全分析的复杂性。

Ransom Cartel 是一个新兴的勒索病毒即服务RaaS组织，最近由 Unit 42 发布的报告对此进行了详细分析。该组织采用双重勒索攻击，且在技术上与曾在2021年对 Kaseya 和 JBS 发起攻击的 REvil 勒索病毒有许多相似之处。

REvil 一度以能够成功发起针对 Kaseya、JBS 和 HX5 的攻击能力而闻名。

在一篇 博客文章 中，来自 Palo Alto Networks 的 Unit 42 研究人员表示，Ransom Cartel 的运营者显然获取了原始 REvil 勒索病毒的源代码。然而，由于他们可能缺乏用于加密字符串和隐藏 API 调用的混淆引擎，Unit 42 推测在成立自身运营之前，Ransom Cartel 可能与 REvil 组织有过关联。

虽然 Ransom Cartel 使用双重勒索以及一些相同的技术攻击策略TTPs，Unit 42 发现该组织在攻击中使用了一些不常见的工具，例如 DonPAPI，在其他勒索病毒攻击中并未被观察到。

研究人员指出，Ransom Cartel 通常通过被盗凭证获得初始访问，这是一种很常见的勒索病毒攻击手段。这包括对外部远程服务、远程桌面协议、安全外壳协议和虚拟私人网络的访问凭证。此类凭证在暗网上广泛存在，为威胁行动者提供了可靠的进入企业网络的途径。

蚂蚁永久免费加速器

Ransom Cartel 的兴起与 REvil 被捕相吻合

Ransom Cartel 在2021年12月中旬首次出现，而 REvil 勒索病毒则在 Ransom Cartel 出现前几个月消失，并且在其 14 名涉嫌成员在俄罗斯被捕 后仅一个月。Unit 42 观察到，Ransom Cartel 声称已对美国和法国的一些公司发起攻击，目标涵盖教育、制造、公共事业和能源等行业。

这个新型勒索组织利用了一个长期以来被认知但难以解决的策略：使用 IT 工具对抗防御者，” Cybrary 的威胁情报高级主任 David Maynor 表示。Maynor 解释道，大多数组织都有某种文件分析方式，而攻击者的恶意文件可以被轻易识别。

“但使用真实的 IT 工具则为攻击者提供了掩护：文件虽然是恶意的，却可能让安全分析师产生混淆，犹豫不决是否删除这些可能导致环境瘫痪或崩溃的工具，” Maynor 继续说道。

Vulcan Cyber 的高级技术工程师 Mike Parkin 补充道，先进的持续威胁APT组织不断演变其战术和工具，以尝试突破目标的防御。Parkin 强调，随着旧组织的分裂或新一代的形成，以及新组织进入这个不幸的利润丰厚的行业，整体环境也在不断变化，更遑论那些