[[438247]]

據securityaffairs消息，威脅情報公司Mandiant發現了一個名為 Sabbath(又名 UNC2190)的勒索軟件組織，從今年6月開始，Sabbath就一直針對美國和加拿大的關鍵基礎設施展開攻擊。

研究人員認為“Sabbath”組織之前都在以Arcane和Eruption的名義運作，后者在去年被部署了ROLLCOAST勒索軟件。

2021年9月，安全專家注意到exploit.in黑客論壇上的一個帖子，某個不知名的勒索團伙企圖尋找合作伙伴。從2021年10月21日開始，該團伙就以“54BB47h(安息日)”的名義開始活動，并注冊了相應的網站和博客。

同月，勒索軟件團伙攻擊了美國某學區的系統，并要求受害者支付數百萬的贖金。

與其他勒索軟件操作手段不同的是，安息日背后運營者為其附屬機構提供了預配置的 Cobalt Strike BEACON 后門負載。使用BEACON 是勒索軟件入侵的常見做法。雖然這一做法給溯源工作構成了挑戰，但同時也為進一步檢測提供了線索。

自此之后，威脅情報公司Mandiant開始主動識別過去類似BEACON的基礎設施以及惡意軟件數據庫，經過分析，Mandiant將新的Sabbath組織與之前的Arcane和Eruption勒索活動聯系起來。

進一步調查顯示，安息日公開披露的勒索博客和Arcane的博客幾乎完全相同。在重命名后，附屬BEACON樣本和基礎設施也保持不變。

研究發現，Sabbath 勒索軟件團伙的目標是關鍵基礎設施，涉及美國和加拿大的教育、衛生和自然資源的相關單位和機構。

參考來源：https://securityaffairs.co/wordpress/125154/cyber-crime/sabbath-ransomware.html