Sarbloh勒索软件背后的攻击者既没有寻求金钱,也没有要求赎金,而是寻求印度农民抗议活动的支持。
黑客从不回避任何具有政治性质的迫切问题。印度政府一直受到农民的强烈反对,并针对2020年印度农业法案(也称为《农业法案》)提出抗议。
印度政府试图改变该国的农业体系。这为威胁参与者提供了一个绝佳的机会,可以从过去100天内持续的政治动荡中受益。
黑客利用印度的农民抗议
据QuckHeal的研究人员称,已经发现了一种名为Sarbloh的新型勒索软件,针对的是与农民抗议活动有关的政治实体。
研究人员声称,这种勒索软件活动是由议程驱动的,因为勒索软件发行商不是在要求勒索赎金,而是致力于使目标系统保持离线状态。
Sarbloh如何交付?
Sarbloh勒索软件可以对文档,音频,图像,数据库,视频和各种文件类型进行加密,并以.sarbloh扩展名附加它们。有效负载通过带有大量混淆的VBA代码的宏散文档分发,该VBA代码以电子邮件的形式到达。
它是通过后台智能传输服务(BITS)下载的,最近在各种与银行特洛伊木马相关的活动中使用了该服务。该勒索软件可执行文件位于Borland Delphi上。它可以枚举文件系统以识别许多不同的文件类型以对其进行加密。可执行文件使用强加密来锁定数据,完成后,它将赎金通知书发送给受害者。
“勒索软件泄漏了勒索记录“ README_SARBLOH.txt”文件,或显示了要求索取勒索的锁屏消息。在这种情况下,勒索软件说明与印度的农民抗议活动有关。”研究人员指出。
恶意软件分发者通过创建看起来具有民族主义色彩的内容来诱使电子邮件收件人打开它。敦促受害者使内容能够查看文件。如果这样做,宏将解码URL下载运行时,并通过名为putty.exe的可执行文件在系统上安装Sarbloh。
在Amazon AWS上托管的有效负载
值得注意的是,有效负载托管在Amazon AWS上并从以下URL下载。
它是通过后台智能传输服务(BITS)下载的,最近在各种与银行特洛伊木马相关的活动中使用了该服务。该勒索软件可执行文件位于Borland Delphi上。它可以枚举文件系统以识别许多不同的文件类型以对其进行加密。可执行文件使用强加密来锁定数据,完成后,它将赎金通知书发送给受害者。
“勒索软件泄漏了勒索记录“ README_SARBLOH.txt”文件,或显示了要求索取勒索的锁屏消息。在这种情况下,勒索软件说明与印度的】农民抗议活动有关。”研究人员指出。
黑客在青睐农民吗?
根据研究人员的说法,考虑到赎金通知书的内容以及活动人员不要求付款来解锁文件的事实,很明显,他们正在支持农民,并通过加密文件来威胁与该问题有关的政治实体
黑客要求他们废除该立法,因为这损害了农民确定其制成品价格的权利。
(来源:HACKREAD)