根据securityaffairs,威胁情报公司Mandiant发现了一个名为Sabbath(又名UNC2190)的勒索软件组织。自今年6月以来,Sabbath一直针对美国和加拿大的关键基础设施发起攻击。研究人员认为,“安息日”组织此前以Arcane和Eruption的名义开展活动,后者于去年与ROLLCOAST勒索软件一起部署。2021年9月,安全专家注意到exploit.in黑客论坛上的一个帖子,称一个未知的勒索团伙正试图寻找合作伙伴。从2021年10月21日开始,该团伙以“54BB47h(安息日)”为名开始活动,并注册了相应的网站和博客。同月,一个勒索软件团伙攻击了美国一个学区的系统,并向受害者索要数百万的赎金。与其他勒索软件操作不同,Shabbat背后的运营商为其附属机构提供了预先配置的CobaltStrikeBEACON后门有效载荷。使用BEACON是勒索软件入侵的常见做法。这种做法虽然对溯源工作提出了挑战,但也为进一步检测提供了线索。从那以后,威胁情报公司Mandiant主动识别了过去类似BEACON的基础设施和恶意软件数据库,经过分析,Mandiant将新的Sabbath组织与之前的Arcane和Eruption勒索软件活动联系起来。进一步调查发现,安息日公开披露的勒索博客与Arcane的博客几乎一模一样。更名后附属的BEACON样本和基础设施也保持不变。研究发现,Sabbath勒索软件团伙以关键基础设施为目标,涉及美国和加拿大与教育、卫生和自然资源相关的单位和机构。参考来源:https://securityaffairs.co/wordpress/125154/cyber-crime/sabbath-ransomware.html
