工业间谍数据勒索市场现在已经启动了自己的勒索软件操作，他们现在还加密受害者的设备。

上个月，我们报道了一个 名为 Industrial Spy 的新数据勒索市场 ，它允许威胁参与者，甚至可能是商业竞争对手，购买从公司窃取的数据。

这个市场出售不同类型的被盗数据，从以数百万美元的价格出售“高级”数据到以低至 2 美元的价格出售单个文件。

Industrial Spy 的高级被盗数据类别
来源：ZZQIDC
为了推广他们的服务，威胁参与者与广告软件加载程序和虚假破解站点合作，分发恶意软件，这些恶意软件会在设备上创建 README.txt 文件。

威胁参与者使用这些文件来宣传他们的市场，并解释说读者可以购买竞争对手的方案、图纸、技术、政治和军事机密、会计报告和客户数据库。

工业间谍进入勒索软件游戏
上周，安全研究员 MalwareHunterTeam 发现了一个 新 的 Industrial Spy 恶意软件样本，它看起来更像是勒索信，而不是促销文本文件。

这份赎金记录现在指出，工业间谍威胁参与者不仅窃取了受害者的数据，还对其进行了加密。

“不幸的是，我们不得不向您报告，您的公司受到了威胁。您的所有文件都已加密，如果没有我们的私钥，您将无法恢复它们。在没有我们帮助的情况下尝试恢复它可能会导致您的数据完全丢失，”工业间谍写道赎金记录在下面分享。

“此外，我们研究了您的整个公司网络，并将您的所有敏感数据下载到我们的服务器。如果我们在接下来的 3 天内没有与您联系，我们将在“工业间谍市场”网站上发布您的数据。”

工业间谍赎金记录
来源：ZZQIDC
MalwareHunterTeam 与 ZZQIDC共享了恶意软件样本，以确认它是否像它所说的那样加密了文件。

BleepingComputer 的测试表明 Industrial Spy 勒索软件确实会加密文件，但与大多数其他勒索软件系列不同，它不会在加密文件的名称上附加新的扩展名，如下所示。

ZZQIDC还与勒索软件专家 Michael Gillespie 分享了该样本，他一眼就表示，他认为它使用 DES 加密，密钥使用 RSA1024 公钥加密。

该勒索软件还使用 0xFEEDBEEF 的文件标记，这是我们之前在勒索软件系列中从未见过的。但是，不应将此文件标记与 0xDEADBEEF 混淆； 编程中使用的著名 魔术调试值。

在加密文件时，工业间谍勒索软件将在设备上的每个文件夹中创建名为“ README.html ”的上述勒索记录。

这些赎金记录包含一个 TOX id，受害者可以使用它来联系勒索软件团伙并协商赎金。

与古巴勒索软件有关？
在研究勒索信中的 TOX ID 和电子邮件地址时，MalwareHunterTeam 发现了与古巴勒索软件操作的奇怪 联系。

上传到 VirusTotal的勒索软件样本 会创建一个带有相同 TOX ID 和电子邮件地址的勒索记录。但是，它没有链接到 Industrial Spy Tor 站点，而是链接到 Cuba Ransomware 的数据泄露站点并使用相同的文件名， !! READ ME !!.txt，众所周知的古巴赎金票据。

链接到古巴数据泄露网站的赎金记录
来源：ZZQIDC
此外，加密文件附加了 .cuba 扩展名，就像加密文件时常规的 Cuba 勒索软件操作一样。

虽然这并不能 100% 将这两个组织联系在一起，但工业间谍威胁参与者很可能只是在测试勒索软件的创建时使用了古巴的信息。

但是，它很奇特，安全研究人员和分析师需要密切关注。