一项长达一年的研究发现， ANALYSIS Wizard Spider 是高调恶意软件 Conti、Ryuk 和 Trickbot 背后与俄罗斯有关的团队，在过去五年中已成长为一个价值数百万美元的组织，该组织建立了类似公司的运营模式.

在本周的一份技术报告中，自 2021 年以来一直在追踪网络犯罪团伙的 Prodaft 的人员概述了自己对 Wizard Spider 的调查结果，并补充了在 2 月份骗子公开站在俄罗斯一边后泄露的有关 Conti 行动的信息。非法入侵乌克兰。

Prodaft 发现的一个团伙坐拥从多个复杂的恶意软件变体中汇集而来的价值数亿美元的资产。我们被告知，Wizard Spider 作为一家企业运营，拥有针对特定类型软件的复杂的子组和团队网络，并且与其他知名的不法分子有关联，包括REvil和 Qbot（也称为 Qakbot 或 Pinkslipbot）背后的那些）。

此外，Wizard Spider 提供全方位服务。它管理网络攻击的整个生命周期——从最初的入侵和受感染组织中的数据加密，到雇佣外部帮助来完成诸如冷门勒索软件受害者之类的工作，以吓唬他们支付费用。如有必要，它会购买它需要的任何恶意代码，尽管它也越来越多地构建自己的工具，例如哈希破解应用程序。

Prodaft 的研究人员写道：“该集团非凡的盈利能力使其领导者能够投资于非法研发计划。” “Wizard Spider 完全有能力招聘专业人才、构建新的数字基础设施，以及购买高级漏洞利用的访问权限。”

我们被告知，Wizard Spider“能够通过其运营的多个方面获利。它对数亿台设备上的大量垃圾邮件，以及针对高价值的集中数据泄露和勒索软件攻击负责。目标。”

由 Wizard Spider（尤其是 Conti）开发的恶意软件已引起美国和海外政府官员的注意。Conti 勒索软件被用于几乎关闭爱尔兰医疗保健系统的攻击，最近还破坏了哥斯达黎加政府机构。哥斯达黎加总统罗德里戈·查韦斯表示，他的国家正在与支持科尼的人交战。

过去一年，美国政府多次发出有关 Conti 的警告，本月早些时候悬赏高达 1500 万美元，以奖励有关开发 Conti 的组织中的关键人物以及使用勒索软件变体进行任何攻击的个人的信息。

确实是一个广泛的网络
该小组的范围很广，并且一直是各个网络安全团队研究的主题。据 Prodaft 称，Wizard Spider 通过运行 SystemBC 代理恶意软件的服务器集群控制全球数千台客户端设备。研究人员统计了 128,036 个 SystemBC 感染的盒子，其中大部分在俄罗斯（20.5%）和美国（12.9%）。

“虽然这两个国家是迄今为止最受欢迎的目标，但值得指出的是，中国、印度和巴西等其他主要经济体也有很好的代表性，”威胁猎手写道。“Wizard Spider 在世界上几乎每个发达国家以及许多新兴经济体都有重要的存在。”

Wizard Spider 发起的大多数攻击都是从使用 Qbot、SystemBC 和受损的商业电子邮件发起的大规模垃圾邮件活动开始的，目的是诱骗标记在他们的 Windows PC 上下载和运行该团伙的一些恶意软件。在那之后，“另一个团队使用基于域的选择来确定他们赎金要求的有价值的目标，并部署 Cobalt Strike 进行横向移动活动，”他们写道。“如果入侵团队成功获得域管理员权限，他们就会部署 Conti 的勒索软件菌株。

例如，一个 Wizard Spider 子团队专门用 Conti 勒索软件感染虚拟机管理程序服务器，例如由 VMware 的 ESXi 驱动的机器。一旦数据从受害者的盒子中被泄露，骗子就会上传恶意代码，加密信息并留下赎金记录。

该组织通过储物柜控制面板管理受害者。研究人员还发现，工作人员使用广泛存在的 Log4j 漏洞（称为 Log4Shell）直接扫描并利用了数百个 VMware vCenter 服务器，并且用于扫描的几个 IP 地址也用于 Cobalt Strike 命令和控制（C2）服务器在后来的攻击中。

启动研究部门
Wizard Spider 还投资开发了自己的技术，包括用于利用安全漏洞的定制工具包，包括Log4j 漏洞和运营商用来呼叫受害者要求支付赎金的定制 IP 语音 (VoIP) 系统。

冷呼叫系统存储子团队在进一步向受害者施压时可以使用的呼叫报告。这些报告包括勒索者给受害者的唯一名称、勒索软件攻击的时间以及使用“1”表示成功呼叫和“0”表示不成功或尚未成功的呼叫的呼叫状态。制作。

威胁猎手写道，还有一个定制的哈希破解系统“存储破解的哈希，更新攻击者的破解状态，并显示在其他服务器上破解尝试的结果”。该软件声称它可以破解广泛的常见散列类型，包括 LM:NTLM 散列、缓存的域凭据、Kerberos 5 TGS​​-REP/AS-REP 票证、KeePass 文件以及用于 MS Office 2013 文档的那些。

哈希破解管理应用程序还用作跟踪船员工作的通信工具，表明它在 Wizard Spider 的业务运作中发挥着核心作用。截至 Prodaft 报告时，破解套件中有 32 个活跃用户。

分析师们惊讶地发现 Wizard Spider 和 REvil 之间存在联系，该勒索软件集团对全球肉类供应商 JBS 和 IT 软件制造商 Kaseya 进行了破坏。Wizard Spider 用于其勒索活动的服务器偶尔会将其数据复制到俄罗斯的备份服务器，该备份服务器的磁盘大小约为 26TB。Prodaft 研究人员在这个备份存储中发现了一些数据，这些数据在 2021 年第一季度也遭到了 REvil 攻击的一些组织被盗。

网络专家写道：“这是勒索软件团伙之间合作的一个令人担忧的例子。” “但是，我们没有任何进一步的信息来确认是巫师蜘蛛团队实施了这些攻击，还是将被盗数据从 REvil 的服务器转移到了备份存储中。”