近日,观察到新暗网市场IndustrialSpy正在对受害设备进行加密,并试图推出自己的勒索软件计划。此前,IndustrialSpy并没有勒索目标公司,而是将自己宣传为一个市场,公司可以在该市场购买竞争对手的数据,以获取商业机密、制造图纸、会计报告和客户数据库。IndustrialSpy市场提供不同级别的数据产品,其中包含价值数百万美元的“高级”被盗数据包,而较低级别的数据甚至可以作为单个文件以低至2美元的价格出售。例如,IndustrialSpy目前正在以140万美元的价格出售一家印度公司的高级数据,并以比特币支付。为了推广他们的服务,攻击者与广告软件加载器和伪造的破解网站一起传播恶意软件,这些恶意软件会在包含促销信息的设备上创建README.txt文件。IndustrialSpy加入勒索软件大军上周,安全研究小组MalwareHunterTeam发现了一个新的IndustrialSpy恶意软件样本,但这一次它看起来更像是勒索票据,而不是推广的文本文件。赎金票据声称,工业间谍攻击者不仅窃取了受害者的数据,而且还对其进行了加密。“很遗憾,我们不得不通知您,您的公司正面临威胁,所有文件都已加密,没有我们的私钥您将无法恢复它们。如果您在没有我们帮助的情况下尝试自行恢复,很可能会导致这些数据将完全丢失”,勒索字条写道,“此外,我们已经研究了您整个公司的网络,并将所有敏感数据下载到我们的服务器。如果您在接下来的3天内没有收到您的任何回复,我们将在IndustrialSpy网站上发布您的数据。”研究人员的测试表明,IndustrialSpy确实会加密文件,但与大多数其他勒索软件系列不同的是,它不会加密文件。将新的扩展名附加到名称中,如下所示。勒索软件专家MichaelGillespie对此进行了解读,他一眼就看出它使用了DES加密和RSA1024公钥加密。该勒索软件还使用了0xFEEDBEEF的文件标签,这在其他勒索软件家族中从未出现过。当然,我们不应将此文件标记与编程中使用的著名魔术调试值0xDEADBEEF混淆。在加密文件时,IndustrialSpyle勒索软件会在设备上的每个文件夹中创建名为“README.html”的赎金票据。这些赎金票据包含一个TOXID,受害者可以使用该ID联系勒索软件团伙并协商赎金。或与勒索团伙古巴的联系?在研究赎金记录中的TOXID和电子邮件地址时,恶意软件猎手团队发现了工业间谍与勒索团伙古巴之间的奇怪联系。上传到VirusTotal的勒索软件样本会创建一个具有相同TOXID和电子邮件地址的勒索票据。但是,它没有链接到IndustrialSpyTor的网站,而是链接到勒索团伙Cuba的数据泄露网站并使用相同的文件名。众所周知,!!!!.Readmetxt,是来自古巴勒索团伙的赎金票据。还值得一提的是,加密文件附加了.Cuba扩展名,就像Cuba通常的勒索团伙在加密文件时所做的那样。虽然这并不能100%肯定地将这两个组织联系起来,但研究人员推测,IndustrialSpy的攻击者很可能正在使用来自勒索团伙古巴的信息来测试他们的勒索软件。这仍有待安全研究人员和分析师密切关注和进一步探索。参考来源:https://www.bleepingcomputer.com/news/security/industrial-spy-data-extortion-market-gets-into-the-ransomware-game/
