【安全资讯】新型勒索软件变种BabyLockerKZ全球范围内发起攻击

概要：

2022年末，一种新型的MedusaLocker勒索软件变种——BabyLockerKZ开始活跃，已在全球范围内对多个组织造成了严重破坏。此类威胁不仅，因为涉及到多国尤其是欧洲和南美洲，影响深远。通过高效的攻击策略，其背后的攻击者展现出不同寻常的专业技能与财务动机。

主要内容：

自2022年末以来，勒索软件变种BabyLockerKZ逐渐扩展至全球多个地区，其目标主要为欧洲和南美洲的组织。攻击者每月入侵超过100个组织，攻击活动大幅增加。在2023年，该软件全球感染数量几近翻倍，直到2024年初攻击频率开始减少。然而，该组织仍保持每月约200个受影响的IP地址。

攻击者运用了一系列公共工具与定制软件，其中最为显眼的是“Checker”工具；它整合多个工具以便横向移动、凭证窃取，并进行进程监控。该工具使用协议如SMB和WMI实施横向移动，并结合Mimikatz和Remote Desktop Plus等流行工具，自动化攻击过程。

为避免检测，BabyLockerKZ采用禁用杀毒软件及终端检测软件等方式，策略性地将自定义脚本存储在不显眼的文件夹中，以此提高加密事务的成功率。此外，与其前身MedusaLocker不同，BabyLockerKZ没有使用常见的{8761ABBD-7F85-42EE-B272-A76179687C63}互斥锁，而是将其密钥储存在名为“PAIDMEMES”的Windows注册表中。虽然密钥在Windows和Linux版本中都存在，研究人员对其用途尚不明确。

BabyLockerKZ的攻击者兼具袭击机会主义和金融动机。他们利用企业中的多种漏洞，尽管该组织成因尚不明确，但Cisco Talos推测其可能是勒索软件卡特尔的中间商。截至2024年，大多数受害者集中在南美洲的巴西、墨西哥、阿根廷及哥伦比亚。