标签: 勒索软件

英国学生 Zain Qaiser 因勒索世界各地的色情网站用户而被判入狱

据BBC报道,一名使世界各地色情网站用户遭受网络攻击、并由此获利数十万美元的学生已被判入狱。来自伦敦巴尔金的Zain Qaiser使用他的编程技巧来欺骗世界各地色情网站的用户。调查人员已经发现了大约70万英镑的利润 – 但他的网络可能已经使他获利超过400万英镑。 24岁的Qaiser在金斯敦皇家法院被判入狱六年零五个月。Timothy Lamb QC法官表示:“你的犯罪造成的伤害是如此广泛的,以至于此前报道的类似案件似乎无法与之相比。” Qaiser大约五年前首次被捕 – 但由于调查的复杂性和心理健康问题,该案件被推迟。 Qaiser最初在他位于巴尔金家中的卧室工作,当他17岁时开始通过“勒索软件”攻击赚钱。全世界每天都有数百万起“勒索软件”事件发生 – 英国最著名的例子是2017年对NHS的“Wannacry”攻击。 Qaiser与俄罗斯控制人就最强大的攻击工具之一进行联系,并表示如果他的计划勒索行动成功,他就同意分摊他的利润。反过来,他与来自美国等国家的在线犯罪分子建立了联系,以帮助转移现金。这位青少年随后成为在线促销的合法供应商,并在一些世界上最受欢迎的法律色情网站上预订了广告空间。 但是,在网站上推广的每个广告都包含一个名为“Angler”的恶意工具。任何访问成人网站的用户点击其中一个Qaiser的虚假广告都会触发下载到他们自己的计算机上的攻击套件。 如果家用计算机没有使用最新的防病毒软件进行保护,Angler将搜索漏洞,并在可能的情况下提供夺取机器控制权的“勒索软件”。它立即向用户发出FBI和其他执法机构的全屏消息,指责用户违法 – 警告他们他们面临长达三年的监禁,除非他们立即支付相当于200美元或100英镑的罚款。 检察官Joel Smith告诉金斯敦皇家法院,“由于担心朋友或家人发现他们曾接触过色情内容而感到尴尬,许多用户都支付了赎金。” “由于显而易见的原因,很少有人向执法官员抱怨。”更糟糕的是,警告页面声称警方在访问成人网站期间捕获了用户的网络摄像头图像 – 并规定了付款的截止日期。 英国国家打击犯罪局(NCA)表示,不可能确切知道有多少人付钱 – 但数据显示Qaiser的行动是巨大的。他控制系统的一次截图显示他仅在2014年7月赚了11,000英镑。 在一次抽样活动中,NCA计算出每月在2100万个网络浏览器中出现的一个假广告 – 包括在英国访问的色情网页上出现的870,000个。反过来,攻击工具包将在大约165,000台PC上下载。其中约5% – 约8,000名用户 – 可能成为赎金需求的牺牲品。 金融调查人员已经确定,Qaiser的业务通过一系列加密货币平台至少转移了400万英镑 – 尽管通过购买越来越多的广告空间,大量的这些利润被重新投入到骗局中。 NCA的金融调查人员发现,这名前计算机科学学生在被捕时自己获得了近55万英镑。 在他被保释期间进行的长时间调查中,警方发现他还获得了10万英镑,因为他的同事通过直布罗陀和伯利兹将资金转移到英国可以访问的在线账户。 据信,Qaiser在网上加密货币中更为隐蔽,因为他在网上聊天时透露,他还有进一步的“离岸储蓄账户”。 NCA网络调查主管Mike Hulett说:“我们认为Zain Qaiser可能是NCA调查过的最重要的网络犯罪者。行动的庞大数量和复杂性 – 他与世界各地的人数以及他的行动频率使其如此成功,并使他赚到了他所做的钱。我认为我们不会知道支付的真实人数。” 在他的犯罪期间,Qaiser没有合法收入 – 但他保持着高调的生活方式。 他在劳力士手表上花了近5000英镑,在切尔西酒店入住花了2000英镑。他经常在妓女,毒品和赌博上花钱,其中包括在高档购物中心赌场的近7万英镑。 虽然似乎没有成人网站的用户直接向世界各地的警察发出警报,但是无意中放置了Qaiser恶意软件促销的广告经纪人却做到了。当一家销售广告空间的加拿大公司要求Qaiser停止时,他发动了大规模的网络攻击,造成这家公司数十万英镑的损失。 辩护律师Elizabeth Lambert声称,Qaiser患有精神疾病,受到年龄更大、经验更丰富的有组织网络罪犯的影响。 Qaiser最初否认了这些罪行并声称他遭到黑客攻击,然后承认11项指控 – 包括勒索、欺诈、计算机犯罪和拥有犯罪财产等。勒索软件犯罪是在2012年至2014年期间实施的。   (稿源:cnBeta,封面源自网络。)

新型勒索软件 Anatova 开始爆发 手段比 Ryuk 更加老道

近日,迈克菲实验室(McAfee Labs)发现了一款远胜于 Ryuk 的加密货币勒索软件,它就是将自身隐藏在看似无害的图标文件中的 Anatova 。通常情况下,它会将自己伪装成一款流行的游戏或应用程序,以欺骗用户下载恶意软件。运行后,它会自动请求管理员权限,以便尽早对受害者的文件进行快速加密,然后索取一笔不菲的赎金(以加密货币的形式交付)。 目前,恶意攻击者选择了以 DASH 这款加密货币作为付款方式(实时报价在 700 美元左右)。分析师称,他们已经在美国检出了 100 多个 Anatova 实例,此外比利时、德国、法国也有不少中招者。 迈克菲的首席科学家 Christiaan Beek 在接受采访时称 —— Anatova 的模块化架构,可能会变得极其危险 —— 这意味着黑客能够轻松为它添加新的功能。 虽然 DASH 的名气不如比特币或门罗币,但我们并不是第一次遇到这种事情。早在 2018 年初,就有一款名叫 GandCrab 的勒索软件家族,率先要求通过 DASH 支付赎金。 Christiaan 补充道 —— 之所以选择 DASH,是因为它实施了许多隐私增强协议,让交易的追踪变得更加艰难。 不久前,Hard Fork 报道过这款席卷互联网的恶意软件威胁。在短短五个月时间里,Ryuk 恶意软件的者,就将至少 370 万美元的比特币赎金收入囊中。 迈克菲安全研究人员指出,创作 Anatova 的黑客技巧(复杂度),远胜于 Ryuk 。换言之,Anatova 比 Ryuk 更加先进。 具体来说是,想要对它展开分析和解密,是相当困难的。鉴于其采用了快速的加密设计,只有不到 1MB 大小的文件才能破轻松破解。 研究人员认为,Ryuk 源于在地下市场销售的源代码,而 Anatova 则是由具备专业的编程技能的黑客设计的。 作者的经验相当丰富,嵌入了足够多的功能,以确保传统应对措施对它无效 —— 比如在未付款的情况下尝试恢复数据、并且无法创建通用的解密工具。   稿源:cnBeta,封面源自网络;

新勒索软件 Ryuk 瞄准大企业 半年获近 400 万美元

新浪科技讯 北京时间1月14日早间消息,据美国科技媒体ArsTechnica援引信息安全公司CrowdStrike和FireEye上周四发布的两项研究结果显示,自去年8月以来,一家最近被发现的勒索软件组织已经获利近400万美元。 该组织选择了一种在行业中不常见的做法:针对被初步感染、资金实力雄厚的目标,选择性地植入恶意加密软件。这不同于用勒索软件感染所有可能受害者的常见策略。 两份报告都显示,该组织使用被称作“Ryuk”的勒索软件感染大企业。而在此之前几天、几周,甚至一年,这些目标大多就已经被感染了一种被称作Trickbot的木马。相比而言,小企业在感染Trickbot之后很少会再遭到Ryuk的攻击。CrowdStrike表示,这种方法是“寻找大目标”,而自去年8月以来,其运作者已经在52笔交易中收入了370万美元的比特币。 除了精准定位目标之外,这种方式还有其他好处:存在“驻留时间”,即从初始感染到安装勒索软件之间的一段时间。这让攻击者有时间对被感染网络进行分析,从而确定网络中最关键的系统,并获取感染这些系统的密码,随后才释放勒索软件,从而最大限度地造成损害。   稿源:新浪科技,封面源自网络;

美司法部指控两名伊朗黑客勒索攻击 造成 3000 万美元损失

美国司法部近日指控两名伊朗黑客,策划和执行了针对美国多个主要城市(包括亚特兰大,圣地亚哥和纽瓦克)的勒索软件攻击,导致美国多地的基础公共服务瘫痪。本周三美国检察官在新闻发布会上表示,34岁的Faramarz Shahi Savandi和27岁的Mohammad Mehdi Shah Mansouri通过向200多名受害者部署SamSam勒索软件,造成了价值3000万美元的损失。 近年来网络勒索事件频发,在设备感染后,黑客以内容为要挟要求受害者支付一定的赎金。司法部刑事部门负责人Brian Benczkowski表示,目前并没有直接证据表明有政府参与其中,但指出这起诉讼是对黑客“部署营利性勒索软件”的首次刑事诉讼。 副检察长Rod Rosenstein说,这款勒索软件通过比特币支付的方式获得了超过600万美元的非法收益。Rosenstein说:“许多受害者都是公共机构,其中不乏涉及公共紧急救助和其他关键职能部门。”根据法庭文件,Savandi和Mansouri所部署的SamSam勒索软件专门针对美国的关键基础设施,如医院和城市系统,以便于敲诈更多的金钱。 Carpenito说:“钱不是他们唯一的目标。他们试图伤害我们的机构和关键基础设施,他们试图影响我们的生活方式。”除了上文提及的亚特兰大之外,受影响城市还包括纽瓦克市,新泽西州,科罗拉多州交通局,加拿大卡尔加里大学以及洛杉矶,堪萨斯,北卡罗来纳,马里兰州,内布拉斯加州和芝加哥的医院。     稿源:cnBeta,封面源自网络;

Sophos 发布 2019 年网络安全威胁分析报告,勒索软件成领头羊

最近,网络安全公司Sophos发布了一个深度调研报告,对接下来2019年将出现的网络威胁向互联网用户和企业做出预警。下面是报告所提到的部分主要威胁:   勒索软件是“领头羊” 和传统“广撒网式”发送海量恶意邮件不同,这种勒索软件的攻击是“交互式”的,发布者不再是机器,其背后的人类攻击者会主动发掘和监测目标,并根据情况调整策略,受害者不交钱不罢休。 2018年见证了定向勒索攻击软件的发展,如WannaCry、Dhrma和SamSam,网络犯罪者藉此已获利上百万美元。Sophos的安全专家认为,这种经济上的成功将大大刺激同类网络攻击的出现,并且会在2019年频繁发生。 如果不进行充分的渗透测试,提高数据安全的等级,那么勒索软件在接下来的一年将造成深远的影响。   物联网安全隐患风险增加 随着更多设备加入了物联网,网络攻击者开始扩大他们的攻击范围和工具。如非法安卓软件数量的增加,让勒索软件将注意力转向了移动电话、平板电脑和其他智能设备。而随着家庭和企业拥有越来越多可联网设备,犯罪者开始发明新的手段劫持这些设备作为巨型僵尸网络的节点,如Mirai Aidra、Wifatc和Gafgyt。2018年,VPNfilter证明了武器化的物联网对嵌入式系统和网络设备的巨大破坏力。   连锁反应机制的应用 一系列事件连续发生时,黑客会在其中一个节点渗入系统。由于一系列连续发生的事件没有清晰可见的脉络,因此在很多时候,想搞清楚黑客将在何时给出一击是不可能的。   永恒之蓝成为了挖矿劫持攻击的关键工具 虽然微软在1年前便发布了补丁来处理永恒之蓝的漏洞问题,但它依然是网络犯罪者的“心头好”。Sophos称,永恒之蓝漏洞和挖矿软件的致命结合会造成损害。   对于中小型企业而言,想要完全规避这些安全威胁随便比较困难,但依然可以合理避免,如建立健全的安全防御机制、使用正规有效的安全防御软件、规范系统管理者的权限、谨慎对待陌生或可疑的邮件、规范密码的使用、不重复使用密码、及时更新漏洞补丁等。当然,更省事的方法是选用可信任的安全服务公司创建更具有针对性、更全面的安全解决方案。 知道创宇云安全作为国内最早的云防御平台,以全面的Web安全解决方案满足不同网站在线业务安全需要,全国超过90万家网站正在使用知道创宇云安全旗下安全解决方案,以旗下王牌产品创宇盾、抗D保等为企业安全筑起一道坚固的防护墙。   编译:创宇小刘,编译自外网新闻及Sophos报告;

新型僵尸勒索软件 Virobot 肆虐微软 Outlook

根据趋势实验室披露的安全报告,一种全新的僵尸网络勒索软件Virobot正通过微软Outlook进行大肆传播。报告中指出该恶意软件同时兼具僵尸网络和勒索软件的特征,在微软Outlook上以垃圾邮件的方式进行传播。 报告中写道:“Virobot首次发现于2018年9月17日,是对臭名昭著的Locky勒索软件变种分析7天之后发现的。一旦感染Virobot,它就会检查注册表键值(计算机GUID和产品秘钥)来确认系统是否应该加密。然后通过加密随机数生成器(Random Number Generator)来生成加密和解密你要。此外伴随着生成的秘钥,Virobot还会将收集的受害者数据通过POST发送到C&C服务器上。” 趋势科技还表示Virobot还可以记录用户敲击键盘的次数,并共享诸如信用卡信息和密码在内的诸多敏感数据。键盘记录器也会将这些信息发送至C&C服务器上。所以为了预防受到感染,请确保你不要打开非可靠源的附件。   稿源:cnBeta,封面源自网络;

布里斯托尔机场大屏被勒索软件攻占 耗时2天终于恢复

因机场网络内多台电脑受到恶意勒索软件攻击,布里斯托尔机场(Bristol Airport)在经历了长达两天的宕机之后所有航班信息屏终于恢复正常。本次网络袭击事件发生于上周五早晨,显示航班信息的大屏幕上显示需要支付赎金才能解锁。布里斯托尔机场方面并未就此向黑客妥协,拒绝支付赎金,所有受影响的系统全部都被拆除,而且必须由机场的IT管理人员进行手动恢复。 在勒索软件攻击期间,机场的工作人员不得不使用白板以及海报等方式显示到达的航班以及登机信息。布里斯托尔机场官方推文称:“数字屏上的实时航班信息目前已经完成了核心区域的修复,不过目前在我们上仍未完成。航班不受该技术问题影响,对于给您带来的任何不便,我们深表歉意。”   稿源:cnBeta,封面源自网络;

研究人员发现了具有僵尸网络功能勒索功能和挖掘加密货币功能的新蠕虫

Palo Alto Networks的Unit 42研究团队发现了一种新的恶意软件类,能够针对Linux和Windows服务器,将加密货币挖掘,僵尸网络和勒索软件功能结合在一个自我扩展的蠕虫软件包中。正如Unit 42所详述的那样,名为Xbash的新恶意软件系列与Iron Group有关,Iron Group是一个以前知道可以执行勒索软件攻击的威胁行为者,显然已经转向更复杂的攻击媒介。 据观察,Xbash使用可利用的漏洞和弱密码强制组合在服务器之间传播,与其他勒索软件不同,默认情况下启用了数据销毁功能,没有恢复功能,几乎不可能进行文件恢复。此外,Xbash的僵尸网络和勒索软件组件通过利用未受保护和易受攻击但未修补的服务来定位Linux服务器,立即清除MySQL,PostgreSQL和MongoDB,并要求比特币赎金恢复数据。 另一方面,Xbash的加密货币挖掘和自传播模块旨在使用未修补的Hadoop,Redis和ActiveMQ数据库中的已知漏洞来破坏Windows系统。此外,Xbash具有自我传播的能力,类似于Petya / NoPetya和WannaCry的能力,以及尚未启用的传播功能集合,但可以使其在企业或家庭网络中快速传播。 Xbash还具有由代码编译,代码压缩和转换以及代码加密提供支持的反检测功能,所有这些功能都会模糊其恶意行为,以防止反恶意软件工具检测到它。Unit 42已经发现48个传入到Xbash勒索软件组件中的硬编码钱包总计6000美元,这意味着新的恶意软件系列已经活跃并收集受害者的赎金。   稿源:cnBeta,封面源自网络;

亚特兰大市政府拒付勒索软件赎金 宁可耗费数百万美元去修复

3 月 22 号的时候,亚特兰大市遭遇了一场大规模的勒索软件攻击,政府机构的一些关键系统也不幸中招,迫使官员放弃了电子邮件和数字系统,转而使用传统的纸笔记录方案。路透社上月报道称,攻击者索取价值高达 5.1 万美元的比特币赎金,但该市觉得不能助长黑客的嚣张气焰,于是决定硬扛下来。为了让系统恢复正常运转,当前承包商仍在修复,即便此举会耗费更多资金。 攻击导致许多机构和官员无法访问包含数字记录和电子邮件等内容的系统。一些勒索软件的会设置时间期限,比如超期赎金翻倍、或者直接删除被其恶意加密的文件。 目前暂不清楚该市拒付赎金的原因,也不知其是否尝试过支付。然而一些纳税人很遗憾地发现,该市最终竟然耗费了数百万美元来解决这个问题。 由亚特兰大政府网站公开的紧急采购信息可知,官员们将大把钱(超过 250 万美元)砸到了 SecureWorks 和 Pioneer Technology Group 等承包商身上。 稿源:cnBeta,封面源自网络;

ZLAB 发布有关勒索软件即服务平台的恶意软件分析报告

近日,CSE CybSec ZLab 恶意软件实验室的安全专家对暗网上主要 RANSOMWARE-AS-A-SERVICE(勒索软件即服务)平台进行了有趣的分析,其中包括 RaaSberry、Ranion、EarthRansomware、Redfox、Createyourownransomware、DataKeeper 等勒索软件。 多年来,暗网的传播创造了新的非法商业模式。除了毒品和支付卡数据等典型的非法商品外,地下黑客还出现了其他服务,例如黑客服务和恶意软件开发。新的平台允许没有任何技术技能的不法人士创建自己的勒索软件并将其传播。 勒索软件是感染受害者的机器并阻止或加密他们的文件的恶意代码,黑客通过其来要求受害用户支付赎金。当勒索软件安装在受害者机器上时,它会搜索并定位敏感文件和数据,包括财务数据,数据库和个人文件。开发勒索软件的目的是为了让受害者的机器无法使用。用户只有两种选择:一是在没有获取原始文件的保证的情况下支付赎金,二是将 PC 从互联网断开。 由此,RaaS 商业模式的兴起使得恶意行为者无需任何技术专业知识就可以毫不费力地发起网络敲诈活动,这也正是导致新的勒索软件市场泛滥的原因。 勒索软件即服务是恶意软件销售商及其客户的盈利模式,使用这种方法的恶意软件销售商可以获取新的感染媒介,并有可能通过传统方法(如电子邮件垃圾邮件或受损网站)接触到他们无法达到的新受害者。RaaS 客户可以通过 Ransomware-as-a-Service 门户轻松获取勒索软件,只需配置一些功能并将恶意软件分发给不知情的受害者即可。 当然,RaaS 平台不能在 Clearnet 上找到,因此它们隐藏在互联网暗网中。但通过非传统搜索引擎浏览黑网页,可以找到几个提供 RaaS 的网站。在该网站上,每个人为勒索软件提供不同的功能,允许用户选择加密阶段考虑的文件扩展名; 向受害者要求的赎金以及恶意软件将实施的其他技术功能。 此外,除了使用勒索软件即服务平台之外,购买定制恶意软件还可以通过犯罪论坛或网站进行,其中可以雇佣黑客来创建个人恶意软件。从历史上看,这种商业一直存在,但它专门用于网络攻击,如间谍活动、账户黑客攻击和网站篡改。一般情况下,只有当黑客了解到它可以盈利时,他们才开始提供这种特定的服务。 ZLAB 完整分析报告: 《ZLAB MALWARE ANALYSIS REPORT: RANSOMWARE-AS-A-SERVICE PLATFORMS》 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。