混沌勒索病毒及其家族关系的新发现

关键要点

研究者近日揭示了混沌勒索病毒与Onyx和Yashma勒索病毒之间的关联。混沌恶意软件不仅灵活，而且容易获取，威胁活动者利用其建立新勒索病毒。2019年Maze勒索病毒团伙引入双重勒索，导致大多数勒索攻击伴随数据泄露。保持良好的安全防护，采用321备份规则，是应对勒索病毒攻击的最佳措施。

研究者在星期二发布的报告中揭示了对混沌勒索病毒构建器的新见解，研究显示其扭曲的家族树将其与Onyx和Yashma勒索病毒变体联系起来。

bigbear大熊加速器

在一篇博客文章中，BlackBerry的研究与情报团队表示，混沌恶意软件与Onyx和Yashma之间的线索在一名受害者与Onyx勒索病毒背后的威胁组织之间的讨论中显现。这次讨论发生在该威胁行为者的泄密网站上。

根据研究者的说法，声称自己是混沌勒索病毒构建器的创造者的人加入了这场讨论，并透露Onyx是基于该作者自己的混沌v40勒索病毒构建器开发的。该作者随后推销了如今更名为Yashma的最新版本的混沌勒索病毒。

与 Onyx 和 Yashma 变体相关的 Chaos 勒索软件构建工具媒体

这并不是第一次提到混沌与Onyx之间的联系。SC Media在4月29日报道，研究人员Ji Vinopal也发现Onyx的产品基于混沌勒索病毒构建器。

BlackBerry的研究者指出，混沌Yashma之所以危险，正是因其灵活性和普遍可获取性。由于这种恶意软件最初作为构建器出售和分发，任何购买恶意软件的威胁行为者都可以复制Onyx背后的威胁组织的行为，开发出自己的勒索病毒变体，并针对特定受害者。

“除了提供对混沌恶意软件家族树的技术深入分析外，我们的研究还深入探讨了这些威胁行为者的心态，展示了一场声称是混沌勒索病毒构建器作者的人的在线交流，”BlackBerry的威胁研究与情报副总裁Ismael Valenzuela Espejo表示。

“有趣的是，除了明显的经济动机之外，他们对自己创作的骄傲感，即使这些恶意软件在过去一年中被很多研究者称为‘概念验证’和‘简单的抹除工具’，”Espejo继续说道。“看到这一点令人感兴趣的是，这来自于一个同时试图从一个现有威胁组织Ryuk那里窃取声望、但在自己的创作混沌/Yashma被盗用并作为新威胁Onyx基础时感到愤怒的人。”

Huntress的高级安全研究员John Hammond表示，BlackBerry的研究为混沌勒索病毒的起源和发展提供了很好的历史概述，直至其第六次修订和新的品牌名Yashma。Hammond指出，最新的加密工具包含新功能，能够检测勒索病毒是否在被禁止的国家执行，还能禁用防病毒软件并停止其他预防解决方案的服务。

“看到勒索病毒工具迅速发展成如此可定制和先进的东西，令人毛骨悚然，”Hammond说。“就像软件公司不断为其产品添加新功能和更新，网络犯罪团伙也在做同样的事情让他们的产品更快、更灵活，而且更易于