Netwalker 小组早在 2021 年就不再受到关注，但研究人员在研究其他软件时注意到了可疑的相似之处。

专家发现最近出现的 Alpha 勒索软件病毒与几年前被瓦解的 Netwalker 犯罪集团之间存在令人不安的联系。这意味着什么？

Netwalker 于 2019 年 10 月至 2021 年 1 月期间运营，以勒索软件即服务 ( RaaS ) 的方式向其他攻击者提供其软件。在执法部门封锁该组织的暗网站点后，Netwalker 运营商停止了非法活动并从雷达上消失了。

Alpha病毒首次出现于2023年2月，但一开始它行动秘密，没有在黑客论坛上做广告，也没有进行大规模攻击。一段时间后，攻击者创建了一个网站，他们开始在上面发布窃取的公司数据并索要赎金。

目前，Alpha网站已发布9起网络攻击信息，其中8起被盗信息已被发布。据 Neterich 1月29日报道 ，病毒逐渐好转。在最新版本中，它为加密文件添加了随机的 8 位字母数字扩展名。

赎金要求现在包括联系网络犯罪分子的指示。据 Neterich 称，金额从 13,200 美元到 100,000 美元不等，具体取决于受攻击组织的收入。

赛门铁克在最近的一份报告中将 Alpha 病毒与 Netwalker 犯罪活动联系起来 。这种联系可以从新组织使用的网络攻击工具和方法中看出。

主要相似点：

使用类似的基于 PowerShell 的下载程序在未检测到的情况下传播病毒。
结构和代码片段的重合，特别是在加密文件、禁用进程和服务、调用系统API等功能上。
用于从加密过程中排除文件、文件夹、进程和服务的类似规则配置。
使用特殊的临时bat 文件加密完成后，恶意软件会自动删除。
付款页面上会发布一条相同的消息，要求输入用户代码。
此外，在最近的攻击中，Alpha 积极使用内置 Windows 工具，这对于许多黑客组织来说是典型的。

因此，研究人员有很多理由相信Netwalker和Alpha的开发者有着密切的关系。要么 Alpha 是 Netwalker 的更名，要么他们的代码被一群新的网络犯罪分子使用。据赛门铁克专家称，有人可能非法获取 Netwalker 代码并将其改编用于自己的目的。

尽管 Alpha 目前并不是勒索软件病毒市场的主要参与者，但分析师评估这种新网络威胁的潜力非常高且增长迅速。

文章原文链接:https://www.anquanke.com/post/id/293266