自 2021 年 6 月以來,一個名為 Sabbath 相對較新的勒索軟體組織一直針對美國和加拿大的關鍵基礎設施(包括教育、衛生和自然資源)為目標,根據Mandiant 研究員的調查結果,發現Sabbath之前以 Arcane 和 Eruption 的名義運作,後者於去年被觀察到部署 ROLLCOAST勒索軟體。ROLLCOAST能加載到memory內並會在硬碟上擦掉其踪跡。
據Mandiant的報告,2021年10 月,Sabbath建立了揭秘網站54BB47h,推出租用勒索軟體即服務(Ransomware as a Service;RaaS)的平台並積極地尋找合作夥伴和會員。值得一提的是,Sabbath會向其會員提供預配置(Pre-configure)的Cobalt Strike有效荷載(payloads)。
在10 月首次曝光時,該組織通過 Reddit 公開勒索美國德州的一個學區,要求支付數百萬美元贖金。據了解,Sabbath採取了異常激進的方法,直接向教職員、家長甚至學生發送電子郵件,以進一步向學區施壓。
據觀察,作為品牌重塑(Rebrand)的一部分,Arcane不僅更改其名稱為Sabbath、其logo和配色也更改了,然而攻擊者在其揭秘網站上繼續犯同樣的語法錯誤,並保持Cobalt Strike的Beacon樣本和基礎設施不變,足以證明Sabbath與Arcane的關連。
Mandiant 表示,自 2021 年 7 月以來,Sabbath一直在使用 Themida 來打包其惡意軟體樣本有助於它避免被 IPS、WAF 等網路安全工具檢測到。研究人員還指出,該組織自 6 月以來一直使用具有獨特性的 Cobalt Strike的Beacon樣本。Sabbath、Arcane和Eruption背後組織被追溯為駭客組織UNC2190,該組織擅長反復重新命名及包裝勒索軟體以避免被發現,另外雖然部署勒索軟體的範圍有限,但會以竊取大量數據進行勒索,並且威脅破壞備份。
Sabbath的入侵指標(Indicator of compromise -IOCs):
SHA 256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