标签: 勒索软件

微软和 McAfee 等巨头加盟勒索软件特别工作组(RST)

通过加强和政府、执法部门、非营利机构、网络安全保险、业内科技公司的合作,安全与技术研究所(IST)正倡导组建全新的勒索软件特别工作组(RTF)。该工作组的创始成员包括了微软、McAfee等诸多科技公司。 RTF的主要工作内容包括:“RTF 将评估现有解决方案在处理勒索软件方面的级别,寻找其中的差距,并为高层决策者创建一个目标具体、可操作的里程碑式的路线图。为了对最终的路线图做出贡献,RTF将委托专家撰写论文,并让各行业的利益相关者参与进来,围绕经过审核的解决方案进行讨论”。 目前 RTF 工作组的成员包括 Aspen Digital ● Citrix ● The Cyber Threat Alliance ● Cybereason ● The CyberPeace Institute ● The Cybersecurity Coalition ● The Global Cyber Alliance ● McAfee ● Microsoft ● Rapid7 ● Resilience ● SecurityScorecard ● Shadowserver Foundation ● Stratigos Security ● Team Cymru ● Third Way ● UT Austin Stauss Center ● Venable LLP         (消息及封面来源:cnBeta;)

美科技公司联盟力挺 WhatsApp 诉以色列 NSO Group 间谍软件案

去年,WhatsApp 发现并修补了一个据说被以色列情报机构 NSO Group 利用的漏洞。在某些情况下,受害者或许无法意识到他们已被间谍软件给盯上。几个月后,WhatsApp 方面开始向后者提起诉讼,以披露幕后都有哪些黑手。被告方一再对这些指控提出异议,并且试图以遵从政府指令为由申请法律上的豁免,但未能说服美国法院在今年早些时候撤销该案件。 最新消息是,由微软、谷歌、亚马逊、思科、Facebook、Twitter、VMware 在内的多家科技巨头和互联网协会组成的联盟,已经共同发声支持 WhatsApp,恳请法院驳回 NSO 的主张且不许其受到豁免。 报道指出,NSO Group 被指利用这款消息传递应用中的未公开漏洞入侵了至少 1400 台设备,受害者包括了某些新闻记者和活动人士。 NSO 开发并向政府兜售其 PegASUS 间谍软件的访问权限,从而使得某些客户能够瞄准并秘密入侵目标设备。受感染的设备可被用于追踪目标位置,窃听消息、呼叫,以及照片、文件等私密内容。 通常情况下,攻击是通过忽悠受害者打开恶意软件而得逞的。但某些情况下,NSO 也会利用 App 或手机中未公开的漏洞而静默感染目标设备。 在此之前,该公司因曝出向沙特、埃塞俄比亚、阿联酋等政府客户出售间谍软件而遭到猛烈批评。现在,由微软(及其子公司 LinkedIn 和 GitHub)代表的这一联盟,已经向法院方面施加了更大的压力。 其指出,间谍软件和相关工具的开发与交付不仅降低了普通人的安全感,也让整个世界冒着这些工具落入不当之手的风险之中。 微软客户安全与信任负责人 Tom Burt 在博客中表示,NSO 理应对自己构建的工具和相关漏洞利用而负责。其希望通过这场诉讼,帮助全球数字生态系统免受更加肆意的攻击。 截止发稿时,NSO Group 方面尚未就此事作出回应。         (消息及封面来源:cnBeta;)

《赛博朋克2077》出手游了?小心,它是勒索软件

伪装成热门游戏进行勒索早已不再是什么新鲜事了,不过这次是热门游戏《赛博朋克2077》的手游版本。不过受害者可以在不支付赎金的情况下解锁设备。当然没有手游版本的《赛博朋克2077》,只不过是黑客利用对这款游戏了解不多的玩家下手而已。 正如卡巴斯基的 Android 恶意软件分析师 Tatyana Shishkova 所指出的那样,不法分子利用部分玩家对游戏的了解程度不够,创建了一个类似于 Google Play 的假网站,让不知情的访问者可以下载手游版《赛博朋克2077》。 该文件实际上是一个名为 CoderWare 的勒索软件,它是 BlackKingdom 勒索软件的变种。与其他恶意软件一样,它会加密设备的内容。受害者有 10 个小时的时间来支付价值 500 美元的比特币,然后才会永久删除所有内容。 不过庆幸的是,Shishkova 指出有种方法可以在不支付赎金的情况下进行解密,但并非 100% 确保你能够收到解密密钥。CoderWare 勒索软件中有一个硬编码密钥,允许解密者恢复文件。         (消息来源:cnBeta;封面来源于网络)

黑客使用 SystemBC 恶意软件进行网络攻击

最新研究显示,越来越多的网络犯罪分子利用商品恶意软件和攻击工具,将部署勒索软件的任务外包给其附属机构。 Sophos发布的一项新分析表示,Ryuk和Egregor勒索软件最近的部署涉及使用SystemBC后门横向移动网络并获取额外的有效负载以供进一步利用。 分支机构通常是负责在目标网络中获得初始立足点的攻击者。 Sophos高级威胁研究人员、前Ars Technica国家安全编辑Sean Gallagher说:“SystemBC是最近勒索软件攻击者工具中的常规部分。” “后门可以与其他脚本和恶意软件结合使用,以自动方式跨多个目标执行发现、过滤和横向移动。这些SystemBC功能最初是为大规模利用而设计的,但现在已被整合到针对性攻击的工具包——包括勒索软件。” 2019年8月,Proofpoint首次记录了SystemBC。它是一种代理恶意软件,它利用SOCKS5互联网协议屏蔽命令和控制(C2)服务器的流量并下载DanaBot银行木马。 此后,SystemBC RAT利用新特性扩展了工具集的范围,允许它使用Tor连接来加密和隐藏C2通信的目的地,从而为攻击者提供一个持久的后门来发起其他攻击。 研究人员指出,SystemBC已被用于许多勒索软件攻击中,通常与其他后攻击工具(如cobaltstake)一起使用,以利用其Tor代理和远程访问功能来解析和执行恶意shell命令、VBS脚本,以及服务器通过匿名连接发送的其他DLL blob。 另外,SystemBC似乎只是众多商品工具中的一个,这些工具最初是由于网络钓鱼邮件而被部署的。这些邮件会传递诸如Buer Loader、Zloader和Qbot之类的恶意软件加载程序,这使得研究人员怀疑这些攻击可能是由勒索软件攻击者的分支机构发起的,或者勒索软件攻击者本身通过多个恶意软件即服务发起的。 研究人员表示:“这些功能使攻击者能够使用打包的脚本和可执行文件进行发现、过滤和横向移动,而无需动用键盘。” 商品恶意软件的兴起也表明了一种新的趋势,即勒索软件作为服务提供给附属公司,就像MountLocker那样,攻击者向附属公司提供双重勒索能力,以便以最小的代价分发勒索软件。 Gallagher表示:“在勒索软件即服务攻击中使用多种工具会产生越来越多样化的攻击模式,IT安全团队更难预测和应对。深入防御、员工培训和以人为基础的威胁搜索对于检测和阻止此类攻击至关重要。”       消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

Pay2Key 勒索软件组织宣称从英特尔 Habana 实验室盗取了 53 GB 的数据

Pay2Key勒索软件组织周日发布了似乎是从Habana Labs获得的内部文件的细节,Habana Labs是一家位于以色列的芯片初创公司,一年前被英特尔收购。这个被安全公司Check Point与伊朗人联系在一起的黑客组织通过Twitter发布了一张包含Habana Labs的源代码截图,同时还发布了一个Tor浏览器可访问的.onion地址的链接。 该网站包含与Habana Labs的Gerrit代码协作软件、DomainController数据相关的文件名,以及似乎来自这家AI芯片制造商的文件。 在撰写这篇报道时,@pay2key账户因违反Twitter的规则而被暂停。 发布到.onion网站上的Readme文件称,英特尔和Habana实验室有七十二小时的时间来阻止进一步的泄露,这位身份不明的作者表示,这些数据可能包括活动目录信息和相关密码,以及该公司Gerrit服务器的全部内容,据说这些数据由价值53GB的数据组成。 英特尔在2019年12月以20亿美元收购了用于数据中心的深度学习加速器芯片制造商Habana Labs。Check Point上个月报告称,Pay2Key勒索软件此前并未出现过。它表示,该名称已于6月在加密身份服务KeyBase.io注册,该勒索软件于10月开始出现。 据报道,自那以后,据Check Point称,至少有三家以色列公司被这种数据绑架软件感染,还至少有一家欧洲公司受害。 勒索软件通常涉及在未经授权的情况下访问计算机,对发现的文件进行加密,然后要求支付赎金以获得解密密钥。付款并不能保证解密后的文件,也不能保证这些文件没有被复制并提供给其他地方。 Check Point表示,Pay2Key组织进行 “双重敲诈”,威胁解密文件并公开发布,以此向受害者施压,迫使其付款。到目前为止,要求支付的赎金一般在7到9个比特币之间,目前折合成美元在13.5万到17.3万之间。 Check Point认为Pay2Key集团由伊朗人组成的原因是,过去的赎金支付是通过Excoino进行的,Excoino是一家伊朗加密货币交易所,拥有有效伊朗电话号码和伊朗身份证/Melli码的个人可以使用。         (消息来源:cnBeta;封面来源于网络)

因涉嫌为勒索组织洗钱 BTC-e 创始人 Alexander Vinnik 被判有期徒刑5年

援引法国 ZDNet 报道,法国法院近日宣判已破产的 BTC-e 加密货币交易所创始人有期徒刑 5 年,并处以 10 万欧元的罚款。罪名是为包括勒索软件组织在内的网络犯罪分子洗钱。 现年 41 岁的亚历山大·温尼克(Alexander Vinnik)是俄罗斯人,在法国检察院未能证明 BTC-e 创始人直接参与了 Locky 的创建和发行之后做出了如上宣判。Locky 是肆虐于 2016-2017 年的勒索软件。 Alexander Vinnik在希腊的监狱 图片来自于 globalwitness 律师 Timofey Musatov 和 Alexander Vinnik 图片来自于 globalwitness 在法官的宣判中写道 :“Vinnik先生,因没有证据表明你参与到了 Locky 的网络攻击行为中,因此法院免除你这方面的指控。不过你被判犯有组织洗钱罪”。经过漫长而复杂的法律斗争,Vinnik于今年秋天在巴黎受审。他最初于2017年7月在希腊北部的避暑胜地度假时被捕。         (消息来源:cnBeta;封面来源于网络)

Medusalocker 勒索团伙破解 RemoteUtilities 商业远控软件实施窃密勒索

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/fYZJikSlifHmqikVB4FSyQ   一、概述 Medusalocker勒索团伙于2019年10月开始活跃,国内外均有大量受害者。早期该团伙通过对入侵机器内的数据文件进行加密勒索1比特币(BTC)。随着文件加密+数据窃取的勒索模式流行,该团伙会在勒索信中威胁称:“已收集了高度机密的资料,不付赎金就公之于众”。 腾讯安全威胁情报中心在进行例行高危风险样本排查过程中,发现Medusalocker勒索团伙使用的样本托管资产(IP:45.141.84.182(ZoomEye搜索结果)),对该资产其进行分析后发现,Medusalocker勒索团伙除使用加密模块对文件进行加密外,其武器库中还包括一系列渗透过程中使用的相关工具和窃密木马。 分析发现,Medusalocker勒索团伙除使用CobaltStrike窃密木马外。还对商业远程控制软件RemoteUtilities(类Teamviwer软件)进行了破解重打包(系对官方版本的窗口、托盘、模块完整校验位置进行Patch)。 由于RemoteUtilities属于正规商业远程控制软件,如果被用于窃密监听,会更加隐蔽,安全软件通常并不将此类商业远控软件报告为病毒。同时,由于破解修改版本与官方版本程序代码仅存在少量差异,也将比一般窃密木马具备更好的免杀效果。 近年来,勒索病毒从广撒网模式到针对性特定企业的精准打击,从单纯的数据加密演变为数据窃取加勒索。攻击者入侵企业内一台资产后,通常并不立刻进行加密操作。而是通过长时间的扫描探测,窃取机密信息后,再大面积对企业实施加密勒索。若企业使用备份数据进行还原,勒索团伙则威胁公开受害企业的机密数据继续敲诈,这对企业带来经济和社会声誉的双重损失。因此,我们提醒各政企机构高度警惕勒索病毒的攻击。 Medusalocker勒索病毒攻击者留下的勒索信 受害者在安全论坛发布的求助帖   腾讯电脑管家、腾讯安全T-Sec终端安全管理系统(御点)均可查杀拦截Medusalocker勒索病毒,腾讯安全针对Medusalocker勒索病毒的完整响应清单如下: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)Medusalocker勒索团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)Medusalocker勒索相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)Medusalocker勒索网络相关联的IOCs已支持识别检测; 2)支持检测拦截Medusalocker团伙发起的爆破攻击行为。 有关云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)已支持查杀Medusalocker相关联的利用模块,勒索模块; 2)已支持检测拦截Medusalocker发起的爆破攻击行为。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 漏洞扫描服务 (Vulnerability Scan Service,VSS) 1)已集成无损检测POC,企业可以对自身资产进行远程检测。   关于腾讯T-Sec漏洞扫描服务的更多信息,可参考:https://cloud.tencent.com/product/vss 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。   关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 基于网络流量进行威胁检测,已支持: 1)Medusalocker团伙相关联的IOCs已支持识别检测; 2)Medusalocker团伙发起的爆破攻击行为已支持检测; 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统(御点) 1)企业终端管理系统可查杀Medusalocker团伙相关联的利用模块,勒索模块; 2)企业终端管理系统已支持检测拦截恶意爆破攻击行为。 3)企业终端管理系统可对系统内高危漏洞进行一键修复 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html 更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/   二、详细分析 1、魔改RemoteUtilities远程控制软件 RemoteUtilities是一款可免费,可商用,能够自建中继服务器的远程控制软件(类似于Teamviewer、向日葵等工具),该软件支持Windows、Mac、Linux、IOS、Android等多个平台版本。该软件服务端(Agent)运行后会弹出明显的服务端窗口信息,托盘展示信息等,一般用于管理员对多台设备进行统一的操作和管理。 Medusalocker勒索病毒团伙通过对RemoteUtilities进行破解重打包后,将其作为窃密木马使用,达到植入目标系统持久化控制的目的,其修改流程主要有下文中分析中的多个步骤。 RemoteUtilities远控软件官网介绍 正常RemoteUtilities被控端(Agent)运行后的界面 2、RemoteUtilities精简破解重打包 RemoteUtilities正常被控端安装后后会存在大量模块文件,修改版本安装后后仅使用3个模块(移除非远程控制必须组件以外的其他模块),精简破解后重打包的版本安装完成后,会添加计划任务启动,进而实现持久化的远程控制。 下图上为完整版RemoteUtilities被控端安装文件,下为病毒修改版安装文件: 计划任务将自动启动病毒远控。   3、RemoteUtilities-Patch-1 通过对官方版本被控端的ShowWindow函数调用进行nop处理,导致官方版本被控端启动时的所有窗口界面消失,从而实现无交互界面被远程控制,系统托盘、消息界面全部被隐藏: 官方版本完整代码: 修改后病毒版本代码:   4、RemoteUtilities-Patch-2 通过对官方版本被控端的Terminateprocess函数调用进行nop处理,导致官方被控端相关快捷退出方式失效,从而让攻击者稳定持久的远程控制,持续进行窃密活动。   官方版本完整代码: 修改后病毒版本代码:   5、RemoteUtilities-Patch-3 官方版本远程控制软件在运行后首先会对其安装目录下的所有模块完整性校验,当发现安装模块缺失后则直接会退出。病毒对其代码进行patch,使官方远控软件被控端校验流程被强行跳过。 官网软件模块完整性校验流程 官方版本完整代码: 修改破解后病毒版本代码: 6、RemoteUtilities-Patch-4 官方程序每次接受命令或启动时会监测程序安装路径下rfuslient.exe模块,并将其执行起来,如果该文件不存在,则弹出一个系统错误对话框,随后服务端直接退出。病毒对其相关路径参数进行patch(破解),导致该处校验流程失效。 被绕过的模块完整性校验提示窗口,正常流程下服务端执行到此处代码将提示错误直接退出。 官方版本完整代码: 破解修改后病毒版本代码: 下图为控制端界面,攻击者向攻击目标植入RemoteUtilities破解修改版本后可完全控制受控机器,可执行远程Shell、屏幕监控操作、语音监控操作、远程文件操作、RDP登录等等。 7、加壳的CobaltStrike Medusalocker勒索病毒团伙同时还使用了加壳的CobaltStrike窃密木马,该版本窃密木马运行后首先以挂起方式启动系统白进程mstsc.exe,随后将Beacon恶意payload注入到mstsc.exe进程内,进而实现系统进程内执行远程控制恶意功能。 其C2信息使用0x2E异或方式简单加密,解密后得到C2地址如下: oow8Phokeing6kai5haH.glowtrow.online ooLiey0phuoghei2cei7.cleans.online eiphaem9aifuR1udaizu.badedsho.space 解密后的CobaltStrike配置信息 8、勒索辅助工具包 在该地址内,也发现了Medusalocker勒索团伙以往常用的工具包。包括本地系统口令窃取工具、浏览器密码窃取工具、局域网端口扫描工具、网络共享资源扫描工具、PsExec命令执行工具、Ark内核对抗工具、两个bat脚本文件等,这些工具在后期渗透局域网其他主机过程中使用。 Bat脚本主要功能有以下部分: EnableLUA,避免系统提示以管理员权限执行等问题; 对系统内粘滞键、放大镜、系统帮助、Windows辅助工具管理器等程序进行映像劫持,侧面印证该团伙可能对系统内该系列工具位置进行后门劫持利用; 开启3389端口并允许远程控制,关闭RDP相关的远程登录安全策略项; 删除系统卷影,删除系统备份等。 9、Medusalocker勒索病毒 Medusalocker勒索病毒出现于2019年10月,2019年11月腾讯安全检测到该病毒开始在国内活跃,该病毒主要通过弱口令爆破方式进行传播,由于该勒索病毒加密使用RSA+AES的方式对文件进行加密,目前尚无有效的解密工具,被加密后的文件末尾组成部分如下。 使用硬编码RSA公钥加密后的AES文件密钥数据; 使用硬编码RSA公钥加密后的后缀信息数据; 被加密文件原始明文长度0x0000000000000018; 文件后缀明文长度0x00000014; AES密钥原始长度0x0000002C; 1、2部分密文长度0x00000200; 0x0000001标记。 具体分析可参考:《警惕Medusalocker勒索变种攻击企业,中毒被勒索1比特币》   本次发现的变种版本Medusalocker加密完成后添加.ReadInstructions扩展名后缀,留下名为Recovery_Instructions.html的勒索文件,攻击者使用的勒索邮箱为asaphelper@protonmail.com,asaphelper@firemail.cc 三、安全建议 腾讯安全专家建议企业用户参考以下操作,以提升系统安全性: 1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。 2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。 3、采用高强度的密码,避免使用弱口令。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。 4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。 5、对重要文件和数据(数据库等数据)进行定期非本地备份。 6、建议终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。 7、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。 8、建议全网安装腾讯T-Sec终端安全管理系统(御点、https://s.tencent.com/product/yd/index.html)。腾讯御点具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。 个人用户: 1、启用腾讯电脑管家,勿随意打开陌生邮件,关闭Office执行宏代码; 2、打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。   IOCs MD5: 81f327ba23b03e261a0bcb3b4be3ffb4 860cdd118f68793a680ad4d22c43619a dbffcc741c54ae7632fb2807c888bdfe 40e85653abe687ddfd95b67a5f5dd452 bb62cb286e2386da92837a37d0ec3445 39c2a273de3f1eee2dd6e567a00f1137 URL: hxxp://45.141.84.182/Build.exe(魔改RemoteUtilities) hxxp://45.141.84.182/Build1.exe/ hxxp://45.141.84.182/beacon.exe(加壳的CobaltStrike) hxxp://45.141.84.182/64x.exe hxxp://45.141.84.182/run.exe hxxp://45.141.84.182/cb.exe hxxp://45.141.84.182/1.zip(勒索工具包) hxxp://45.141.84.182/AN_UPD.exe(Medusalocker勒索病毒) C2: oow8Phokeing6kai5haH.glowtrow.online ooLiey0phuoghei2cei7.cleans.online eiphaem9aifuR1udaizu.badedsho.space IP: 45.141.84.182(ZoomEye搜索结果) 勒索邮箱: asaphelper@protonmail.com asaphelper@firemail.cc 勒索平台暗网地址: hxxp://gvlay6u4g53rxdi5.onion/18-oWREq832SIH6V6yoKU1Z3fMRYR5wmpR0-cvxencen8tpja5kxwsd12had3lurjur7    

Egregor 勒索软件使用 Cobalt Strike 和 Rclone 进行持续性攻击

Egregor勒索软件是Sekhmet恶意软件家族的一个分支,该家族自2020年9月中旬以来一直处于活跃状态。勒索软件以危害组织,窃取敏感用户数据,加密数据,并要求勒索交换加密文件的方式运作。Egregor是一种勒索软件,它与针对GEFCO、Barnes&Noble、Ubisoft和其他许多公司的网络攻击有关。 …… 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1409/           消息及封面来源:SentinelLABS,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

勒索软件 Ranzy:ThunderX 升级加密的变体

Ranzy勒索软件出现在今年9月/10月,似乎是ThunderX和Ako勒索软件的变体。Ranzy有一些关键的更新,包括加密的调整,过滤的方法,以及使用公开的“leak blog”为那些不遵守赎金要求的人发布受害者数据。 …… 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1403/         消息来源:SentinelLABS,封面来自网络,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

FBI 探查近期美国医院遭受的一系列勒索软件攻击

据路透社消息,东欧犯罪分子正在用勒索软件瞄准数十家美国医院,联邦官员周三敦促医疗机构迅速加强准备工作,以防他们成为下一个目标。据三位熟悉此事的网络安全顾问透露,美国联邦调查局(FBI)正在调查最近的攻击事件,其中包括本周刚刚公开的俄勒冈州、加利福尼亚州和纽约的事件。 专家表示,这些攻击事件背后可能的组织被称为“Wizard Spider”或UNC 1878。他们警告说,这种攻击会扰乱医院的运作,导致生命的离去。这些攻击促使FBI和国土安全局官员在周三为医院管理者和网络安全专家主持了一次电话会议。 一名与会者告诉路透社记者,政府官员警告医院要确保他们的备份系统正常,尽可能将系统与互联网断开,并避免使用个人电子邮件账户。FBI没有立即回应评论请求。 “这似乎是一次协调的攻击,旨在专门破坏全美各地的医院,”美国网络安全公司Recorded Future的威胁情报分析师Allan Liska说。 “虽然每周针对医疗服务提供者的多起勒索软件攻击已经屡见不鲜,但这是我们第一次看到同一勒索软件行为者在同一天内针对六家医院进行攻击。” 在过去,医院的勒索软件感染已经使患者记录保存数据库瘫痪,这些数据库关键性地存储了最新的医疗信息,影响了医院的医疗服务能力。熟悉攻击事件的三名顾问中的两名表示,网络犯罪分子普遍使用一种名为 “Ryuk “的勒索软件,这种软件会锁定受害者的电脑,直到收到付款。 这位电话会议参与者说,政府官员透露,攻击者使用Ryuk和另一种名为Trickbot的木马来对付医院。 “UNC1878是我在职业生涯中观察到的最无耻、最无情、最具有破坏性的威胁行为者之一,”美国网络事件响应公司Mandiant高级副总裁Charles Carmakal说。“多家医院已经受到Ryuk勒索软件的重大影响,他们的网络已经被关闭。” 专家表示,在本月早些时候微软努力破坏黑客网络之后,Trickbot的部署意义重大。 网络犯罪分析师Stefan Tanase表示,这一举措旨在削弱网络犯罪分子的能力,但他们似乎已经迅速恢复。“我们在这里看到的是确认Trickbot被击垮的报道被大大夸大了。” 微软没有回答置评请求。     (消息来源:cnbeta;封面来自网络)