close

_03_2023.09.11_新發現俄羅斯勒贖攻擊團體_Key_Group,透過_Telegram_散布惡意軟體

資安廠商 EclecticIQ 日前發表研究報告,指出該公司旗下的資安人員,發現的新勒贖攻擊團體 Key Group 透過 Telegram 頻道散播惡意軟體,不但會對受害者設備中的資料進行加密,且還會竊取受害者的個人機敏資訊。

報告指出,Key Group 的主要目的應為藉勒贖攻擊斂財。主要的攻擊對象為俄羅斯境內的受害者。該團體除了要求受害者償付贖金外,也會在一個名為  Dark Store 的俄羅斯暗網中販賣用戶個資與其社群帳號、VPN 帳密和 email 地址。

EclecticIQ 是在 2023 年 1 月 6 日起觀測到 Key Group 的相關攻擊活動,並持續活動至今。資安研究人員發現 Key Group 的成員利用 Telegram 中的頻道 keygroup777Tg 來進行攻擊活動與贖金要求。另外該團體還有一個私密 Telegram 頻道,用以協調成員間的攻擊行動,並共享各種工具的資訊。

EclecticIQ 指出,該團體有可能自 6 月底開始利用一種稱為 NjRAT 的遠端遙控工具,來控制受害者的裝置。

報告也指出,Key Group 使用一種 CBC-mode 進階加密標準 (AES) 來加密受害者的資料,並將用戶的檔案名稱加上 keygroup777tg 的副檔名。由於這種加密方式並不太複雜,加上該團體的駭侵技術並不強,在進行加密時犯了一些技術上的錯誤,因此 EclecticIQ 已經利用這些錯誤,開發出針對其 8 月 3 日版本勒贖軟體的解密工具。

為避免遭到勒贖攻擊,建議使用者避免點按不明來源如釣魚郵件、社群頻道或聊天軟體中傳送的連結。

  • 參考連結

Decrypting Key Group Ransomware: Emerging Financially Motivated Cyber Crime Gang

https://blog.eclecticiq.com/decrypting-key-group-ransomware-emerging-financially-motivated-cyber-crime-gang

Free Decryptor Available for ‘Key Group’ Ransomware

https://thecloudconsultancy.co/news/free-decryptor-available-for-key-group-ransomware/

arrow
arrow
    創作者介紹
    創作者 twcert 的頭像
    twcert

    台灣電腦網路危機處理暨協調中心-TWCERT/CC

    twcert 發表在 痞客邦 留言(0) 人氣()