【安全资讯】供应链弱点：Crypt Ghouls利用承包商部署勒索软件

概要：

网络安全领域再度警报，Kaspersky Labs发现了一个名为Crypt Ghouls的新网络犯罪团伙，专门针对俄罗斯企业和政府机构进行勒索软件攻击。该团伙通过利用承包商和分包商的被盗凭证获得初始访问权限，随后部署LockBit 3.0和Babuk勒索软件加密受害者的数据，给多个行业带来了严重威胁。

主要内容：

Crypt Ghouls的攻击模式主要依赖于通过VPN连接利用被盗的承包商凭证渗透目标系统。这些连接追溯至俄罗斯的托管服务提供商和被攻陷的承包商网络。一旦进入系统，攻击者使用多种工具进行横向移动并保持持久性。Kaspersky指出，攻击者使用NSSM和Localtonet等工具来创建和管理被攻陷主机上的服务，同时提供加密的远程访问通道。

该团伙的武器库中包括Mimikatz、XenAllPasswordPro和AnyDesk等知名黑客工具。尤其值得注意的是，Crypt Ghouls使用的CobInt后门加载器被Kaspersky称为“明显的工具”，将该团伙与其他臭名昭著的攻击活动联系在一起。该加载器通过执行混淆的PowerShell代码，允许攻击者在内存中加载恶意软件而不留痕迹。

Crypt Ghouls主要依赖LockBit 3.0和Babuk勒索软件对受害者系统造成破坏。LockBit 3.0以其独特的加密过程而闻名，使得恢复用户文件变得极为困难。该团伙还将包含凭证收集工具的目录添加到加密排除列表中，以便在加密过程完成后仍能保持控制。Kaspersky的分析表明，Crypt Ghouls与MorLock、BlackJack和Twelve等其他团伙存在显著相似之处，进一步加大了攻击归属和应对的难度。