資安廠商 EclecticIQ 日前發表研究報告,指出該公司旗下的資安人員,發現的新勒贖攻擊團體 Key Group 透過 Telegram 頻道散播惡意軟體,不但會對受害者設備中的資料進行加密,且還會竊取受害者的個人機敏資訊。
報告指出,Key Group 的主要目的應為藉勒贖攻擊斂財。主要的攻擊對象為俄羅斯境內的受害者。該團體除了要求受害者償付贖金外,也會在一個名為 Dark Store 的俄羅斯暗網中販賣用戶個資與其社群帳號、VPN 帳密和 email 地址。
EclecticIQ 是在 2023 年 1 月 6 日起觀測到 Key Group 的相關攻擊活動,並持續活動至今。資安研究人員發現 Key Group 的成員利用 Telegram 中的頻道 keygroup777Tg 來進行攻擊活動與贖金要求。另外該團體還有一個私密 Telegram 頻道,用以協調成員間的攻擊行動,並共享各種工具的資訊。
EclecticIQ 指出,該團體有可能自 6 月底開始利用一種稱為 NjRAT 的遠端遙控工具,來控制受害者的裝置。
報告也指出,Key Group 使用一種 CBC-mode 進階加密標準 (AES) 來加密受害者的資料,並將用戶的檔案名稱加上 keygroup777tg 的副檔名。由於這種加密方式並不太複雜,加上該團體的駭侵技術並不強,在進行加密時犯了一些技術上的錯誤,因此 EclecticIQ 已經利用這些錯誤,開發出針對其 8 月 3 日版本勒贖軟體的解密工具。
為避免遭到勒贖攻擊,建議使用者避免點按不明來源如釣魚郵件、社群頻道或聊天軟體中傳送的連結。
- 參考連結
Decrypting Key Group Ransomware: Emerging Financially Motivated Cyber Crime Gang
Free Decryptor Available for ‘Key Group’ Ransomware
https://thecloudconsultancy.co/news/free-decryptor-available-for-key-group-ransomware/
留言列表
資安宣導 (2)
