研究发现，“Sabbath”始终瞄准美国和加拿大的关键基础设施

据securityaffairs消息，威胁情报公司Mandiant发现了一个名为 Sabbath(又名 UNC2190)的勒索软件组织，从今年6月开始，Sabbath就一直针对美国和加拿大的关键基础设施展开攻击。

研究人员认为“Sabbath”组织之前都在以Arcane和Eruption的名义运作，后者在去年被部署了ROLLCOAST勒索软件。

2021年9月，安全专家注意到exploit.in黑客论坛上的一个帖子，某个不知名的勒索团伙企图寻找合作伙伴。从2021年10月21日开始，该团伙就以“54BB47h(安息日)”的名义开始活动，并注册了相应的网站和博客。

同月，勒索软件团伙攻击了美国某学区的系统，并要求受害者支付数百万的赎金。


与其他勒索软件操作手段不同的是，安息日背后运营者为其附属机构提供了预配置的 Cobalt Strike BEACON 后门负载。使用BEACON 是勒索软件入侵的常见做法。虽然这一做法给溯源工作构成了挑战，但同时也为进一步检测提供了线索。

自此之后，威胁情报公司Mandiant开始主动识别过去类似BEACON的基础设施以及恶意软件数据库，经过分析，Mandiant将新的Sabbath组织与之前的Arcane和Eruption勒索活动联系起来。

进一步调查显示，安息日公开披露的勒索博客和Arcane的博客几乎完全相同。在重命名后，附属BEACON样本和基础设施也保持不变。

研究发现，Sabbath 勒索软件团伙的目标是关键基础设施，涉及美国和加拿大的教育、卫生和自然资源的相关单位和机构。