研究人员发现,一个名为DarkGaboon的出于经济动机的网络犯罪组织一直在针对俄罗斯公司进行一系列勒索软件攻击。

该组织于1月份由俄罗斯网络安全公司Positive Technologies首次发现,但研究人员将其运营追溯到2023年。从那时起,DarkGaboon就瞄准了各个领域的俄罗斯组织,包括银行,零售,旅游和公共服务。

2021年,Positive Technologies因涉嫌向俄罗斯民用和军事情报机构提供IT支持而受到美国制裁。

在今年春天的最新活动中,观察到DarkGaboon在俄罗斯针对受害者部署了LockBit 3.0勒索软件,Positive Technologies上周在一份报告中表示。

该组织使用的LockBit版本于2022年公开泄露,现在被许多网络犯罪分子使用。然而,与在勒索软件即服务模式下运行的典型LockBit关联公司不同,DarkGaboon似乎独立运行。

在其运营中,DarkGaboon依赖于用俄语编写的网络钓鱼电子邮件。这些信息是为了显得紧急而精心制作的,通常针对财务部门的员工。它们包含伪装成合法财务文件的恶意附件。

根据该报告,DarkGaboon使用的诱饵文件基于从合法俄语来源下载的模板。这些诱饵文件自2023年以来保持相对不变。

一旦进入受害者的网络,该组织就会部署LockBit 3.0来加密文件,并留下一张用俄语写的赎金票据,其中包含两个联系电子邮件地址。根据Positive Technologies的说法,在最近的事件中没有发现数据泄漏的迹象。

当前赎金票据中列出的相同电子邮件地址之前与2023年3月至4月期间针对俄罗斯金融机构的LockBit攻击有关。

该公司尚未确定DarkGaboon背后的个人,但表示肇事者可能精通俄语。

研究人员表示,该组织使用开源工具,如复仇RAT,XWorm和LockBit勒索软件,以融入更广泛的网络犯罪活动,使归因更加困难。

俄罗斯实体此前曾成为LockBit勒索软件变种的目标。据报道,去年12月,黑客用它来攻击西伯利亚南部最大的乳制品加工厂。

当地媒体报道说,网络攻击发生在该公司为在乌克兰作战的俄罗斯士兵提供人道主义援助(包括无人机)后不久。这次袭击没有归因于任何特定的威胁行为者。