搜索:勒索软件

俄黑客推出“人性化” RaaS 业务,连小孩都能发起勒索软件攻击了

据外媒 21 日报道,安全研究人员近期发现暗网市场中正在出售一种新型勒索软件 Karmen 以及其衍生出的“勒索软件即服务(RaaS)模式”。调查显示,俄罗斯网络犯罪组织 DevBitox 以用户名 Dereck1 的身份在顶级暗网中出售这款勒索软件。 勒索软件 Karmen 于 2017 年 3 月在暗网中被发现出售,但首次感染事件可追溯至 2016 年 12 月。与其他变体一样,该勒索软件加密受害者数据,并要求缴纳赎金方可提供解密密钥。目前攻击者主要针对美国与德国用户设备。 攻击者除了将勒索软件 Karmen 设计为人性化通用技能与知识外,还采用了先进的安全逃避技术。例如,在系统中检测到沙箱环境或任何其他类型的安全分析软件,Karmen 将自动删除解密部分,重新获取受害者文件访问权限。 此外,勒索软件还具备专用控制面板功能,允许人们定制个性化攻击服务。Recorded Future 研究人员表示,对于购买勒索软件 Karmen 的网络犯罪分子来说,使用控制面板是极其简单的事情,因为仅需极少的技术与知识。 Recorded Future 安全团队主管 Andrei Barysevich 透露,目前只要花个 175 美元,就连五岁小孩都能进行勒索软件攻击了。而勒索软件 Karmen 附带的“ 客户端 ” 页面还能让购买者跟踪已感染设备,并提供支付赎金的更新状态。 至今为止,DevBitox 组织已销售 20 份勒索软件 Karmen ,还剩 5 份可供潜在客户购买。据统计显示,暗网上利用 RaaS 模式出售勒索软件的趋势显著增长,网络犯罪分子通过定制出售恶意软件,旨在允许技术知识有限的人员发起大规模攻击。   原作者:India Ashok,译者:青楚,译审:狐狸酱 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

勒索软件 CradleCore 源码已被公开销售,或衍生多种变体

Forcepoint 安全专家表示,CradleCore 作者正在许多地下犯罪论坛提供该勒索软件源码,允许犯罪分子请求代码定制版本,有别于典型的 ransomware-as-a-service ( RaaS ) 模式。 勒索软件 CradleCore 采用 C++ 源码,配合必要的 PHP Web 服务器脚本与支付面板。两周前,该款恶意软件售价 0.35 比特币(约合 428 美元),接收议价。 恶意软件开发者一般通过 RaaS 商业模式牟利。只有在具体做法不可行的情况下才会考虑出售恶意软件源码。据悉,该销售模式将导致 CradleCore 衍生更多变体。 CradleCore 功能相对完整,采用 Blowfish 进行文件加密,此外还允许离线加密。其恶意代码可以实现沙箱对抗机制并通过 Tor2Web 网关与 C2 服务器通信。调查表明,目标系统一旦感染,勒索软件 CradleCore 将对文件进行加密处理并向受感染系统发送 “ 死亡威胁 ”。加密后的文件被附加 .cradle 扩展名。 虽然 CradleCore 的广告网站托管在暗网上,但该网站的 Apache 服务器状态页面显示为可查询状态。日志显示,托管 Onion 网站的 Apache 服务器还有一个托管 clearnet 网站的虚拟主机( VHost ),允许多个网站托管在一台机器与一个 IP 地址之上。 Linode 分配的托管网站 IP 地址看似专用。这实质上意味着服务器或遭受入侵、被滥用托管 CradleCore 网站,或 clearnet 网站与 CradleCore 属于同一所有者。 由此看出,CradleCore 是又一款可供网络犯罪分子利用的新型勒索软件。作为源码销售的原因可能是作者对恶意软件商业模型了解有限,或为开发者寻找额外收入的首个项目或附加项目。也就是说,购买者不仅可以更新该款勒索软件,还可将源码分享至他人。 原作者:Pierluigi Paganini,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

勒索软件 Cerber 超越 Locky 获得暗网市场最大份额

据外媒 13 日报道,勒索软件 Cerber 出色的传播能力使 2017 年第一季度最常见的勒索软件 Locky 也黯然失色。Malwarebytes 实验室最新发布的一份网络犯罪报告中指出,勒索软件 Cerber 在暗网中的市场份额从 1 月份的 70% 上升至 3 月份的 87%。 Malwarebytes 研究人员表示,勒索软件 Cerber 能够肆意传播归功于其强大的加密功能,如离线加密等。与此同时,Cerber 采用了 RaaS( ransomware-as-a-service,勒索软件即服务) 商务模式,允许攻击者进行修改或租赁,致使非技术攻击者也可轻松获取勒索软件的自定义版本。 Malwarebytes 研究人员从 Microsoft 分析报告中发现,感染 windows 10 的勒索软件中 Cerber 已然排名第一。相比之下,勒索软件 Locky (去年排名第一)已脱离暗网的主流,或是因为攻击者利用僵尸网络 Necurs 发送垃圾邮件的攻击战术发生了改变。迄今为止,Malwarebytes 发表的报告中并未出现勒索软件 Locky 的最新版本。 调查表明,勒索软件 Cerber 通常以弹出式广告或电话呼叫的方式感染目标设备。倘若受害者发出回应,攻击者则利用各种社会工程技术哄骗受害者安装其他软件或订阅有害服务。由于攻击者难以通过正规渠道获得赎金,他们已开始接受其他支付方式进行诈骗,如苹果礼品卡与比特币。 原作者:John Leyden,译者:青楚,译审:狐狸酱 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Apache Struts 2 漏洞可用于传播勒索软件 Cerber、攻击 Windows 系统

研究人员表示,网络犯罪分子可通过 Apache Struts 2 漏洞传播勒索软件 Cerber、攻击 Windows 系统。 3 月上旬,Apache Struts 2 被曝存在编号为 CVE-2017-5638 的远程代码执行漏洞。然而,就在安全专家发布该漏洞补丁与概念验证( PoC )没多久,攻击者便开始利用该漏洞传播恶意软件。多数情况下,攻击者通过后门和分布式拒绝服务( DDoS )机器人对 Unix 系统进行攻击,但近期专家们还发现一起针对 Windows 系统的攻击行动。 3 月 20 日至 26 日,F5 Networks 研究人员发现网络犯罪分子利用该漏洞执行 shell 命令,运行 Windows 附带的 BITSAdmin 与其他命令行工具传播勒索软件 Cerber、针对 Windows 服务器展开攻击。SANS 技术研究所的专家也在此期间对该起攻击事件进行了报道。 据悉,该勒索软件针对系统中的重要文件进行加密处理,迫使受害者必须通过缴纳赎金才能获得用于恢复文件的“特制解密软件”。经 F5 Networks 报道,在多次攻击行动中,受害者均被要求发送赎金至同一个比特币地址,该地址中的交易额高达 84 比特币(当前价值近 10 万美元)。 研究人员表示,Apache Struts 2 漏洞为攻击者提供了一个丰富的目标环境,可在扩展业务的同时感染数千台新服务器。将勒索目标设为服务器而非个人的做法更加有利可图,由于这些服务器通常属于资金相对充足、基础设施较为完善的组织机构,相应存储数据对业务发展而言可能至关重要。目前,Apache Struts 2 漏洞已感染大量产品,其中包括思科与 VMware 等品牌。 独立安全研究员 Corben Douglas 于本周三发布报告称,他在漏洞发布 4、5 天后对 AT&T 系统进行测试,结果表明系统易受攻击。此外,他还尝试在 AT&T 服务器上执行命令,此举可使整个公司受其掌控。 原作者:Eduard Kovacs , 译者:青楚 ,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。转载请注明“转自 HackerNews.cc ” 并附上原文链接。

因禁止土耳其集会,荷兰议会网站遭勒索软件攻击

据荷兰本土刊物《尼德兰时报》(NL Times)报道,黑客组织针对荷兰议会下议院发动勒索软件攻击并在停止前设法加密部分文件。调查表明,此次袭击事件由荷兰政府禁止两名土耳其官员在本地集会期间与外侨谈话而引发。 尽管荷兰议会发言人决定不对本次袭击事件发表任何意见,某位荷兰议员仍在推特上发布了勒索软件攻击政府计算机系统的消息。届时所有议会成员也都收到了一封描述该事件的内部电子邮件。目前,事态已在 IT 专家着手替换加密文件之前得到有效控制。 事实上,荷兰网站并非第一次遭受黑客袭击。几周前,荷兰选民用来确定投票人选的两大网站于选举日当天遭到入侵。随后,当地一家互联网安全公司立即展开调查,结果表明确实由土耳其黑客组织所为。 此外,另一次攻击事件针对荷兰分析公司 Twitter Counter 展开。黑客组织通过恶意链接方式入侵大量 Twitter 帐户,导致大量账户遭劫持并被迫发布支持土耳其总统 Recep Tayyip Erdogan 的言论,部分带有纳粹党的十字标志,因为荷兰政府被指控为“纳粹残余”。据悉,这些推文将被用于 4 月 16 日土耳其全民公投,或为 Erdogan 提供更大的权力以及连任土耳其总统的机会。 原作者:Gabriela Vatu, 译者:青楚     本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

勒索软件 Cerber 可识别虚拟机以躲避安全人员的分析

目前一款最臭名昭著的勒索软件已经进一步发展,获得了防止网络安全工具检测的能力,使恶意软件难以被安全人员分析。这款名为 Cerber 的勒索软件在 2016 年初被发现,除了加密受害者文件的典型行为之外,恶意软件还包含一个 .vbs 文件,显示赎金票据以进一步吓唬那些已被感染的受害者。 此外,Cerber 使用一组分配命令和控制服务器,使用 Cerber 的网络犯罪分子几乎可以分发 Cerber 。如果他们成功地感染受害者并且获得赎金,那么 Cerber 勒索软件开发者获得 40% 的利润,而具体攻击者则获得 60% 的利润。 典型的勒索软件通常通过恶意电子邮件发送,其中包含恶意网站的附件或链接。根据趋势科技表示,新版本的 Cerber 将会引导用户打开由黑客控制的 Dropbox 链接。一旦打开,Cerber 有效载荷将自动下载和提取,无需任何用户交互。 为了能够逃避检测,现在 Cerber 会检查它是否在虚拟机上运行,这是因为网络安全研究人员通常通过沙箱来分析恶意软件代码,从而无法传播到其他系统。如果 Cerber 检测到它正在虚拟环境中运行,它将停止运行。趋势科技公司的Gilbert Sison 表示:Cerber 采用的新型封装和加载机制可能会导致静态机器学习方法的问题,即分析文件而无需执行或仿真。 稿源:cnBeta;封面源自网络

Necurs 僵尸网络卷土重来,传播内容从勒索软件转为股票垃圾邮件

据 Cisco 威胁情报组织 Talos 发现,世界上最大的僵尸网络 Necurs 在消失数星期后重新上线,并改变了以往的传播内容。网络犯罪分子此前主要通过电子邮件方式传播银行恶意软件 Dridex 和勒索软件 Locky ,现在则将目标锁定为股票市场相关行情。通过电子邮件传播恶意软件的做法不足为奇,但此次事件涉及的电子邮件并未附有任何超链接或恶意软件。 调查表明,Necurs 僵尸网络并非第一次发送大量的电子邮件。2016 年 12 月 20 日,Necurs 僵尸网络就已经开展过一次类似活动,此番策略转变在某种程度上反映了攻击者试图从经济角度对 Necurs 僵尸网络加以利用的意图。 据悉,此封电子邮件包含了移动应用程序开发公司 InCapta 对于某股票市场的行情警示,由无人机公司 DJI 基于曼哈顿公司的提示获得,内容透露该公司股票将以每股 1.37 美元的价格出售。为吸引受害者注意,该电子邮件进一步指出,DJI 公司将创建第一批独立无人机,革命性地改变无人机行业的发展,并将无人机派发至用户感兴趣的领域,如犯罪现场、追击逃犯、山火救援等。为增加一些紧急情况,该邮件显示 DJI 公司将于 3 月 28 日买断 InCapta 公司股票。 据悉,成千上万的电子邮件已通过 Necurs 僵尸网络成功发送给用户,InCapta 公司股票交易量也随之显著增加。 原作者:Gabriela Vatu, 译者:青楚,校对:Liuf 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

新型勒索软件以星际迷航人物命名,使用数字货币 Monero 付款

看来一些网络犯罪分子正在针对星际迷航粉丝发动攻击,Avast 恶意软件研究员 Jakub Kroustek 发现一款新的勒索软件变种,以星际迷航当中人物 Kirk 的名字命名,这款勒索软件用 Python 编写的。被伪装为称为低轨道离子炮应用程序,后者是一款网络压力测试应用程序。 一旦执行,Kirk 将生成一个 AES 密码,用于加密受害者的文件,随后通过嵌入式 RSA-4096 加密密钥进行加密。接下来,受害者电脑将显示“ LOIC 正在为您的系统初始化…”这可能需要一些时间。在这一点上,Kirk 勒索软件默默地加密文件。据报告,恶意软件会影响 625 种文件类型,包括广泛使用的文件类型,例如 .mp3,.docx,.zip,.jpeg 和 .wma 等。此过程完成后,就会显示赎金通知。 典型的勒索软件通常会要求以比特币或 MoneyPak 作为付款,以解锁文件。然而,Kirk 勒索软件要求受害者以 Monero 付钱,它是类似于比特币的另一种安全加密货币。在前两天,它将要求受害者支付 50 Monero,相当于大约 1265 美元。它将每隔几天重复一次,如果在第 31 天没有付款,解密密钥将被永久删除。 犯罪分子承诺受害者在以 Monero 付款后,将名为 Spock 软件发送给受害者。到目前为止,没有任何方法来免费解密,也没有任何人受到这个勒索软件影响的报告。 稿源:cnBeta;封面源自网络

2016 年约有 61% 的组织遭受勒索软件攻击

根据 CyberEdge 集团的“网络威胁防御报告”显示,2016 年大约有 61% 的组织遭受了勒索软件的攻击。在这些受感染者中,超过三分之一的公司通过向勒索者付费恢复了数据;54% 的公司拒绝缴纳赎金;13% 的公司永久失去了所有数据。 随着行业的发展,有利可图的恶意软件在当今时代越来越盛行。近期,有攻击者表示:仅仅在去年,他们利用恶意软件对各大公司进行入侵时,获取赎金高达 10 亿美元。 CyberEdge 的报告指出,越来越多的组织成为网络罪犯的牺牲品。从 2015 年的 70% 到 2016 年的 76% ,再到今年的 79% 。这些数字都得到了卡巴斯基实验室的证实并做出评估报告。报告中表明:在 2016 年全球有 1445434 个用户遭到 62 类加密勒索软件家族 54000 个变种的攻击。平均每隔 10 秒就有一个普通用户遭到勒索,每隔 40 秒就有一个组织或者企业成为攻击目标。 黑客们的惊人技术,早已攻破互联网巨头谷歌和雅虎的防护,并进行数据盗取,从而导致公司安全支出的激增。目前, CyberEdge的 研究人员认为:员工的低安全意识,导致组织更加容易受到攻击。 原作者: FRANCISCO MEMORIA,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

勒索软件 Dharma 密钥“泄露”,用户可免费解密恢复文件

勒索软件 Dharma 的受害者现在可以免费获得解密密钥。周四上午卡巴斯基实验室的 Rakhni 解密工具添加了勒索软件 Dharma 的解密密钥。 据称,一个名为“ gektar ”的用户在 BleepingComputer.com 论坛上发布了一个 Pastebin 链接,其中包含该勒索软件的解密密钥。研究员对密钥进行分析发现钥匙是有效的,并将其纳入现有的解密工具。勒索软件 Dharma 是勒索软件 Crysis 的变种,最初出现在去年 11 月,受害者 C 盘下的文件被加密并以“ .dharma ”结尾。在某些情况下,文件名也会被更改为电子邮件地址“ @ india.com ” 。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。