一个黑客组织使用从Conti恶意软件组泄露的勒索软件源代码来创建他们自己的勒索软件,然后他们将其用于对俄罗斯组织的网络攻击。虽然经常听到勒索软件攻击公司和加密数据,但我们很少听到针对俄罗斯黑客组织的类似攻击。这种攻击的缺乏是由于俄罗斯黑客普遍认为,如果他们不影响俄罗斯的利益,那么该国的执法部门将对其他国家的攻击视而不见。然而,现在情况发生了变化,一个名为NB65的黑客组织现在专门针对俄罗斯组织进行勒索软件攻击。一个名为NB65的黑客组织在过去一个月里一直在攻击俄罗斯实体,窃取他们的数据并将其泄露到网上,并警告说这些攻击是由于俄罗斯入侵乌克兰造成的。据称该黑客组织的目标俄罗斯实体包括文件管理运营商Tensor、俄罗斯航天局以及俄罗斯国有电视和广播公司VGTRK。对VGTRK的攻击尤为严重,据称窃取了786.2GB的数据,包括900,000封电子邮件和4,000个文件,这些数据已发布在DDoSSecrets网站上。最近,NB65黑客转向了一种新策略——自3月下旬以来以勒索软件攻击俄罗斯组织为目标。更有趣的是,黑客组织使用泄露的Conti勒索软件操作源代码来创建他们的勒索软件定制版本,这是一种源自俄罗斯的网络安全威胁,通常禁止其成员攻击俄罗斯实体。Conti的源代码在他们支持俄罗斯攻击乌克兰后被泄露,一名安全研究人员泄露了170,000条内部聊天消息和他们的操作源代码。BleepingComputer首先通过威胁分析师TomMalka了解到NB65的攻击,但我们找不到勒索软件的样本,黑客组织也不愿分享。然而,昨天当NB65修改后的Conti勒索软件可执行文件的样本上传到VirusTotal时,情况发生了变化,让我们得以一窥其工作原理。几乎所有防病毒供应商都在VirusTotal上将此样本检测为Conti,IntezerAnalyze还确定它使用了66%与通常的Conti勒索软件样本相同的代码。BleepingComputer测试了NB65勒索软件,它在加密文件时会在加密文件名后附加.NB65扩展名。勒索软件还将在整个加密设备中创建一个名为R3ADM3.txt的勒索文本,威胁行为者将网络攻击归咎于弗拉基米尔普京总统入侵乌克兰。“我们正在密切关注。你们的总统不应该犯下战争罪,”NB65勒索软件显示的注释中写道。NB65黑客组织的一位代表表示,他们的加密器是基于第一个Conti源代码的泄漏,但由于更改了算法,现有的解密器将无法使用。“修改后,所有版本的Conti解密器都无法正常工作。每次部署都会根据我们为每个目标更改的几个变量生成一个随机密钥。如果不联系我们,真的没有办法解密它。“目前,NB65有没有收到受害者的任何来信,并告诉我们他们没有任何期望。至于NB65为何攻击俄罗斯组织:“布查尔惨案后,我们选择针对某些看似服务于民用市场,但仍对俄罗斯正常运作能力产生影响的公司。俄罗斯民众对普京战争罪行的支持是压倒性的。我们从一开始就明确表示。我们支持乌克兰。我们会信守诺言。当俄罗斯停止在乌克兰的所有敌对行动并结束这场荒谬的战争时,NB65将停止攻击俄罗斯互联网上的资产和公司。”“我们不会攻击俄罗斯以外的任何目标。或国防承包商)以打击西方。我们认为现在是他们自己解决这个问题的时候了。”
