一个黑客组织利用 Conti 泄露的勒索软件源代码创建了自己的勒索软件，用于针对俄罗斯组织的网络攻击。

虽然经常听到针对公司和加密数据的勒索软件攻击，但我们很少听说俄罗斯组织受到类似攻击。
这种缺乏攻击的原因是俄罗斯黑客普遍认为，如果他们不攻击俄罗斯的利益，那么该国的执法部门将对其他国家的攻击视而不见。

然而，现在形势发生了逆转，一个名为 NB65 的黑客组织现在针对俄罗斯组织进行勒索软件攻击。

勒索软件针对俄罗斯
在过去的一个月里，一个名为 NB65 的黑客组织一直在入侵俄罗斯实体，窃取他们的数据并将其泄露到网上，并警告称这些攻击是由于俄罗斯入侵乌克兰造成的。

声称受到黑客组织攻击的俄罗斯实体包括 文件管理运营商 Tensor、俄罗斯航天局 Roscosmos和国有的俄罗斯电视和广播电台 VGTRK。

对 VGTRK 的攻击尤其严重，因为它导致了 786.2 GB 的数据被盗，其中包括 900,000 封电子邮件和 4,000 个文件，这些数据发布在 DDoS Secrets 网站上。

最近，NB65 黑客转向了一种新策略——自 3 月底以来针对俄罗斯组织发起勒索软件攻击。

更有趣的是，黑客组织使用 泄露的 Conti Ransomware 操作源代码创建了他们的勒索 软件，这是俄罗斯威胁参与者，他们禁止其成员攻击俄罗斯的实体。

孔蒂的源代码在他们支持俄罗斯对乌克兰的攻击后被泄露 ，一名安全研究人员 泄露了 170,000 条内部聊天消息和其操作的源代码 。

ZZQIDC 最初是由威胁分析师Tom Malka得知 NB65 的攻击 ，但我们找不到勒索软件样本，黑客组织也不愿意分享。

然而，昨天，当 NB65 修改后的 Conti 勒索软件可执行文件样本上传到 VirusTotal时，这种情况发生了变化，让我们得以一睹它的工作原理。

几乎所有防病毒软件供应商都在 VirusTotal 上检测到这个样本为 Conti， Intezer Analyze 还确定它使用了与通常的 Conti 勒索软件样本相同的 66% 的代码。

ZZQIDC运行了 NB65 的勒索软件，在加密文件时，它会将 .NB65 扩展名附加到加密文件的名称中。

被 NB65 勒索软件加密的文件
来源：ZZQIDC
该勒索软件还将在整个加密设备中创建名为R3ADM3.txt的赎金记录，威胁行为者将网络攻击归咎于总统弗拉基米尔普京入侵乌克兰。

“我们正在密切关注。你的总统不应该犯下战争罪。如果你正在寻找对你目前的情况负责的人，看看弗拉基米尔普京就知道了，”阅读下面显示的 NB65 勒索软件说明。

NB65 勒索软件的赎金记录
来源：ZZQIDC
NB65 黑客组织的一位代表告诉 BleepingComputer，他们的加密器基于第一个 Conti 源代码泄漏，但针对每个受害者进行了修改，这样现有的解密器就无法工作。

NB65 告诉 ZZQIDC：“它已被修改为所有版本的 Conti 解密器都无法工作。每次部署都会根据我们为每个目标更改的几个变量生成一个随机密钥。”

“不联系我们，真的没有办法解密。”

目前，NB65 尚未收到受害者的任何通信，并告诉我们他们并不期待任何消息。

至于NB65攻击俄罗斯组织的原因，我们就让他们自己说话。

“在 Bucha 之后，我们选择针对某些可能是平民拥有的公司，但仍然会对俄罗斯的正常运营能力产生影响。俄罗斯民众对普京战争罪行的支持是压倒性的。从一开始我们就明确了。我们'正在支持乌克兰。我们将信守诺言。当俄罗斯停止在乌克兰的所有敌对行动并结束这场荒谬的战争时，NB65 将停止攻击俄罗斯面向互联网的资产和公司。

在那之前，操他们。

我们不会打击俄罗斯以外的任何目标。Conti 和 Sandworm 等组织以及其他俄罗斯 APT 多年来一直通过勒索软件、供应链攻击（Solarwinds 或国防承包商）袭击西方……我们认为是时候让他们自己处理这些问题了。”