SuperBlack 勒索软件可能与 LockBit 有关

快速阅读: 《计算机周刊》消息，研究表明，“Mora_001/超级黑影”与“LockBit”有密切关联，可能为其分支机构或共享渠道的组织。“LockBit”受挫后分裂，催生新团伙。“Black Basta”成员逃避引渡，勒索软件支付额因执法行动和用户准备度下降。

在将“Mora_001/超级黑影”与“LockBit”联系起来时——这一著名事件发生于一年多前，当时由英国主导的跨国行动对其造成了干扰。Forescout的研究团队指出，他们观察到一系列符合“LockBit剧本”的后续开发行为。这些行为包括受害网络上的相同用户名、用于访问和指挥控制（C2）的重叠IP地址、相似的配置备份方式，以及在“有利”条件下通常会在48小时内迅速部署勒索软件。

“Mora_001/超级黑影”不仅利用了泄露的“LockBit构建器”，还从其勒索信中移除了“LockBit”品牌，转而部署自己的泄露工具。最确凿的证据出现在该团伙的勒索信中，其中包含了“LockBit”用于谈判的TOX ID。Forescout表示，这表明“Mora_001”要么是“LockBit”的运营附属机构，要么是一个与该团伙共享通信渠道的关联组织。

研究团队写道：“我们观察到的后续开发模式使我们能够定义一种独特的操作签名，从而将‘Mora_001’与其他勒索软件运营商区分开来，包括‘LockBit’的附属机构。这种一致的操作框架表明了一个具有结构性剧本的独特威胁行为者，而非多个遵循通用‘LockBit’方法的操作员。”

在分析“Mora_001/超级黑影”入侵的时间线、重叠指标和操作模式时，Forescout表示现在可以“自信地”将其未来的入侵活动归因于该团伙，而不必过多关注其与“LockBit”的确切关系。

在国家犯罪局（NCA）主导的“Operation Cronos”行动之后，该行动于2024年2月干扰了“LockBit”，勒索软件领域出现了显著的分裂，运营团伙数量增加。这表明“LockBit”集体的一些成员在压力下分散，并建立或加入了新的运营组织。

虽然这些推测只是理论，“Mora_001/超级黑影”的发现赋予了一定的可信度。随着时间推移，人们逐渐意识到“LockBit”的遗产似乎将继续存在一段时间。

如需更多关于“Mora_001/超级黑影”的信息，包括战术、技术和程序（TTP）、检测机会及妥协指标（IoC），可从Forescout获取。

了解更多关于勒索软件的信息：

这个关键的“Black Basta”勒索软件团伙成员被美国司法系统通缉。他在2024年6月底勉强逃脱了引渡，得益于莫斯科的高层人脉支持。

执法行动对网络犯罪团伙的干扰以及用户更好的准备程度等因素，可能是勒索软件支付总金额大幅下降的背后原因。在节日期间，犯罪勒索软件团伙持续活跃，攻击数量上升，一个新威胁行为者开始崭露头角。

(以上内容均由Ai生成)