研究人员揭露价值数十亿美元的巫师蜘蛛网络犯罪团伙的内部运作

被称为巫师蜘蛛（Wizard Spider）的网络犯罪集团的内部运作已被曝光，从而揭示了其组织结构和动机。

瑞士网络安全公司PRODAFT在与《黑客新闻》分享的一份新报告中表示：“Wizard Spider的大部分工作都是利用一种特殊的破解工具，对欧洲和美国的企业进行黑客攻击，一些攻击者使用这种工具来突破高价值目标”。“他们获得的一部分资金被投入到该项目中，以开发新的工具和人才”。

Wizard Spider（又名Gold Blackburn）据信在俄罗斯境外运营，指的是一名出于财务动机的威胁行为人，与TrickBot僵尸网络有关。TrickBot僵尸网络是一种模块化恶意软件，今年早些时候正式停产，以支持BazarBackdoor等改进型恶意软件。

还不止这些。TrickBot运营商还与Conti进行了广泛合作，Conti是另一个与俄罗斯有关联的网络犯罪集团，因向其附属公司提供勒索软件即服务包而臭名昭著。

Gold Ulrick（又名Grim Spider）是负责开发和分发Conti（以前叫Ryuk）勒索软件的团队，历来利用TrickBot提供的初始访问来部署针对目标网络的勒索软件。

网络安全公司Secureworks在一份网络犯罪集团简介中指出：“Gold Ulrick与Gold Blackburn由部分或全部相同的运营商组成，Gold Blackburn是负责分发TrickBot、BazarLoader和Beur Loader等恶意软件的威胁集团”。

普罗达夫特表示，该集团“有能力将其经营的多个方面货币化”，强调对手有能力扩大其犯罪企业，并表示这是由于该团伙的“非凡盈利能力”。

涉及该集团的典型攻击链从散布Qakbot（又名QBot）和SystemBC等恶意软件的垃圾邮件活动开始，在执行locker软件之前，将其作为启动平台，投放其他工具，包括用于横向移动的Cobalt Strike。

除了利用大量实用程序进行凭证盗窃和侦察外，Wizard Spider还使用了一种利用已知安全漏洞（如Log4Shell）的攻击工具包，以在受害者网络中获得初步立足点。

还可以使用一个破解站，它托管与域凭据、Kerberos票证和KeePass文件等相关的破解哈希。

此外，该集团还投资了一个定制的VoIP设置，雇佣的电话运营商会给没有反应的受害者打电话，以施加额外的压力，迫使他们在勒索软件攻击后还清欠款。

这并不是该集团第一次采取这种策略。去年，微软详细介绍了一项名为BazaCall的BazarLoader活动，该活动利用虚假呼叫中心诱使毫无戒备的受害者在其系统上安装勒索软件。

研究人员说：“该组织掌握着大量受损设备，并采用高度分布式的专业工作流程来维护安全和高运行速度”。

“它对数亿台设备上的大量垃圾邮件以及对高价值目标的集中数据泄露和勒索软件攻击负有责任”。