标签: 勒索软件

Medusalocker 勒索团伙破解 RemoteUtilities 商业远控软件实施窃密勒索

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/fYZJikSlifHmqikVB4FSyQ   一、概述 Medusalocker勒索团伙于2019年10月开始活跃,国内外均有大量受害者。早期该团伙通过对入侵机器内的数据文件进行加密勒索1比特币(BTC)。随着文件加密+数据窃取的勒索模式流行,该团伙会在勒索信中威胁称:“已收集了高度机密的资料,不付赎金就公之于众”。 腾讯安全威胁情报中心在进行例行高危风险样本排查过程中,发现Medusalocker勒索团伙使用的样本托管资产(IP:45.141.84.182(ZoomEye搜索结果)),对该资产其进行分析后发现,Medusalocker勒索团伙除使用加密模块对文件进行加密外,其武器库中还包括一系列渗透过程中使用的相关工具和窃密木马。 分析发现,Medusalocker勒索团伙除使用CobaltStrike窃密木马外。还对商业远程控制软件RemoteUtilities(类Teamviwer软件)进行了破解重打包(系对官方版本的窗口、托盘、模块完整校验位置进行Patch)。 由于RemoteUtilities属于正规商业远程控制软件,如果被用于窃密监听,会更加隐蔽,安全软件通常并不将此类商业远控软件报告为病毒。同时,由于破解修改版本与官方版本程序代码仅存在少量差异,也将比一般窃密木马具备更好的免杀效果。 近年来,勒索病毒从广撒网模式到针对性特定企业的精准打击,从单纯的数据加密演变为数据窃取加勒索。攻击者入侵企业内一台资产后,通常并不立刻进行加密操作。而是通过长时间的扫描探测,窃取机密信息后,再大面积对企业实施加密勒索。若企业使用备份数据进行还原,勒索团伙则威胁公开受害企业的机密数据继续敲诈,这对企业带来经济和社会声誉的双重损失。因此,我们提醒各政企机构高度警惕勒索病毒的攻击。 Medusalocker勒索病毒攻击者留下的勒索信 受害者在安全论坛发布的求助帖   腾讯电脑管家、腾讯安全T-Sec终端安全管理系统(御点)均可查杀拦截Medusalocker勒索病毒,腾讯安全针对Medusalocker勒索病毒的完整响应清单如下: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)Medusalocker勒索团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)Medusalocker勒索相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)Medusalocker勒索网络相关联的IOCs已支持识别检测; 2)支持检测拦截Medusalocker团伙发起的爆破攻击行为。 有关云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)已支持查杀Medusalocker相关联的利用模块,勒索模块; 2)已支持检测拦截Medusalocker发起的爆破攻击行为。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 漏洞扫描服务 (Vulnerability Scan Service,VSS) 1)已集成无损检测POC,企业可以对自身资产进行远程检测。   关于腾讯T-Sec漏洞扫描服务的更多信息,可参考:https://cloud.tencent.com/product/vss 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。   关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 基于网络流量进行威胁检测,已支持: 1)Medusalocker团伙相关联的IOCs已支持识别检测; 2)Medusalocker团伙发起的爆破攻击行为已支持检测; 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统(御点) 1)企业终端管理系统可查杀Medusalocker团伙相关联的利用模块,勒索模块; 2)企业终端管理系统已支持检测拦截恶意爆破攻击行为。 3)企业终端管理系统可对系统内高危漏洞进行一键修复 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html 更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/   二、详细分析 1、魔改RemoteUtilities远程控制软件 RemoteUtilities是一款可免费,可商用,能够自建中继服务器的远程控制软件(类似于Teamviewer、向日葵等工具),该软件支持Windows、Mac、Linux、IOS、Android等多个平台版本。该软件服务端(Agent)运行后会弹出明显的服务端窗口信息,托盘展示信息等,一般用于管理员对多台设备进行统一的操作和管理。 Medusalocker勒索病毒团伙通过对RemoteUtilities进行破解重打包后,将其作为窃密木马使用,达到植入目标系统持久化控制的目的,其修改流程主要有下文中分析中的多个步骤。 RemoteUtilities远控软件官网介绍 正常RemoteUtilities被控端(Agent)运行后的界面 2、RemoteUtilities精简破解重打包 RemoteUtilities正常被控端安装后后会存在大量模块文件,修改版本安装后后仅使用3个模块(移除非远程控制必须组件以外的其他模块),精简破解后重打包的版本安装完成后,会添加计划任务启动,进而实现持久化的远程控制。 下图上为完整版RemoteUtilities被控端安装文件,下为病毒修改版安装文件: 计划任务将自动启动病毒远控。   3、RemoteUtilities-Patch-1 通过对官方版本被控端的ShowWindow函数调用进行nop处理,导致官方版本被控端启动时的所有窗口界面消失,从而实现无交互界面被远程控制,系统托盘、消息界面全部被隐藏: 官方版本完整代码: 修改后病毒版本代码:   4、RemoteUtilities-Patch-2 通过对官方版本被控端的Terminateprocess函数调用进行nop处理,导致官方被控端相关快捷退出方式失效,从而让攻击者稳定持久的远程控制,持续进行窃密活动。   官方版本完整代码: 修改后病毒版本代码:   5、RemoteUtilities-Patch-3 官方版本远程控制软件在运行后首先会对其安装目录下的所有模块完整性校验,当发现安装模块缺失后则直接会退出。病毒对其代码进行patch,使官方远控软件被控端校验流程被强行跳过。 官网软件模块完整性校验流程 官方版本完整代码: 修改破解后病毒版本代码: 6、RemoteUtilities-Patch-4 官方程序每次接受命令或启动时会监测程序安装路径下rfuslient.exe模块,并将其执行起来,如果该文件不存在,则弹出一个系统错误对话框,随后服务端直接退出。病毒对其相关路径参数进行patch(破解),导致该处校验流程失效。 被绕过的模块完整性校验提示窗口,正常流程下服务端执行到此处代码将提示错误直接退出。 官方版本完整代码: 破解修改后病毒版本代码: 下图为控制端界面,攻击者向攻击目标植入RemoteUtilities破解修改版本后可完全控制受控机器,可执行远程Shell、屏幕监控操作、语音监控操作、远程文件操作、RDP登录等等。 7、加壳的CobaltStrike Medusalocker勒索病毒团伙同时还使用了加壳的CobaltStrike窃密木马,该版本窃密木马运行后首先以挂起方式启动系统白进程mstsc.exe,随后将Beacon恶意payload注入到mstsc.exe进程内,进而实现系统进程内执行远程控制恶意功能。 其C2信息使用0x2E异或方式简单加密,解密后得到C2地址如下: oow8Phokeing6kai5haH.glowtrow.online ooLiey0phuoghei2cei7.cleans.online eiphaem9aifuR1udaizu.badedsho.space 解密后的CobaltStrike配置信息 8、勒索辅助工具包 在该地址内,也发现了Medusalocker勒索团伙以往常用的工具包。包括本地系统口令窃取工具、浏览器密码窃取工具、局域网端口扫描工具、网络共享资源扫描工具、PsExec命令执行工具、Ark内核对抗工具、两个bat脚本文件等,这些工具在后期渗透局域网其他主机过程中使用。 Bat脚本主要功能有以下部分: EnableLUA,避免系统提示以管理员权限执行等问题; 对系统内粘滞键、放大镜、系统帮助、Windows辅助工具管理器等程序进行映像劫持,侧面印证该团伙可能对系统内该系列工具位置进行后门劫持利用; 开启3389端口并允许远程控制,关闭RDP相关的远程登录安全策略项; 删除系统卷影,删除系统备份等。 9、Medusalocker勒索病毒 Medusalocker勒索病毒出现于2019年10月,2019年11月腾讯安全检测到该病毒开始在国内活跃,该病毒主要通过弱口令爆破方式进行传播,由于该勒索病毒加密使用RSA+AES的方式对文件进行加密,目前尚无有效的解密工具,被加密后的文件末尾组成部分如下。 使用硬编码RSA公钥加密后的AES文件密钥数据; 使用硬编码RSA公钥加密后的后缀信息数据; 被加密文件原始明文长度0x0000000000000018; 文件后缀明文长度0x00000014; AES密钥原始长度0x0000002C; 1、2部分密文长度0x00000200; 0x0000001标记。 具体分析可参考:《警惕Medusalocker勒索变种攻击企业,中毒被勒索1比特币》   本次发现的变种版本Medusalocker加密完成后添加.ReadInstructions扩展名后缀,留下名为Recovery_Instructions.html的勒索文件,攻击者使用的勒索邮箱为asaphelper@protonmail.com,asaphelper@firemail.cc 三、安全建议 腾讯安全专家建议企业用户参考以下操作,以提升系统安全性: 1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。 2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。 3、采用高强度的密码,避免使用弱口令。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。 4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。 5、对重要文件和数据(数据库等数据)进行定期非本地备份。 6、建议终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。 7、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。 8、建议全网安装腾讯T-Sec终端安全管理系统(御点、https://s.tencent.com/product/yd/index.html)。腾讯御点具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。 个人用户: 1、启用腾讯电脑管家,勿随意打开陌生邮件,关闭Office执行宏代码; 2、打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。   IOCs MD5: 81f327ba23b03e261a0bcb3b4be3ffb4 860cdd118f68793a680ad4d22c43619a dbffcc741c54ae7632fb2807c888bdfe 40e85653abe687ddfd95b67a5f5dd452 bb62cb286e2386da92837a37d0ec3445 39c2a273de3f1eee2dd6e567a00f1137 URL: hxxp://45.141.84.182/Build.exe(魔改RemoteUtilities) hxxp://45.141.84.182/Build1.exe/ hxxp://45.141.84.182/beacon.exe(加壳的CobaltStrike) hxxp://45.141.84.182/64x.exe hxxp://45.141.84.182/run.exe hxxp://45.141.84.182/cb.exe hxxp://45.141.84.182/1.zip(勒索工具包) hxxp://45.141.84.182/AN_UPD.exe(Medusalocker勒索病毒) C2: oow8Phokeing6kai5haH.glowtrow.online ooLiey0phuoghei2cei7.cleans.online eiphaem9aifuR1udaizu.badedsho.space IP: 45.141.84.182(ZoomEye搜索结果) 勒索邮箱: asaphelper@protonmail.com asaphelper@firemail.cc 勒索平台暗网地址: hxxp://gvlay6u4g53rxdi5.onion/18-oWREq832SIH6V6yoKU1Z3fMRYR5wmpR0-cvxencen8tpja5kxwsd12had3lurjur7    

Egregor 勒索软件使用 Cobalt Strike 和 Rclone 进行持续性攻击

Egregor勒索软件是Sekhmet恶意软件家族的一个分支,该家族自2020年9月中旬以来一直处于活跃状态。勒索软件以危害组织,窃取敏感用户数据,加密数据,并要求勒索交换加密文件的方式运作。Egregor是一种勒索软件,它与针对GEFCO、Barnes&Noble、Ubisoft和其他许多公司的网络攻击有关。 …… 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1409/           消息及封面来源:SentinelLABS,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

勒索软件 Ranzy:ThunderX 升级加密的变体

Ranzy勒索软件出现在今年9月/10月,似乎是ThunderX和Ako勒索软件的变体。Ranzy有一些关键的更新,包括加密的调整,过滤的方法,以及使用公开的“leak blog”为那些不遵守赎金要求的人发布受害者数据。 …… 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1403/         消息来源:SentinelLABS,封面来自网络,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

FBI 探查近期美国医院遭受的一系列勒索软件攻击

据路透社消息,东欧犯罪分子正在用勒索软件瞄准数十家美国医院,联邦官员周三敦促医疗机构迅速加强准备工作,以防他们成为下一个目标。据三位熟悉此事的网络安全顾问透露,美国联邦调查局(FBI)正在调查最近的攻击事件,其中包括本周刚刚公开的俄勒冈州、加利福尼亚州和纽约的事件。 专家表示,这些攻击事件背后可能的组织被称为“Wizard Spider”或UNC 1878。他们警告说,这种攻击会扰乱医院的运作,导致生命的离去。这些攻击促使FBI和国土安全局官员在周三为医院管理者和网络安全专家主持了一次电话会议。 一名与会者告诉路透社记者,政府官员警告医院要确保他们的备份系统正常,尽可能将系统与互联网断开,并避免使用个人电子邮件账户。FBI没有立即回应评论请求。 “这似乎是一次协调的攻击,旨在专门破坏全美各地的医院,”美国网络安全公司Recorded Future的威胁情报分析师Allan Liska说。 “虽然每周针对医疗服务提供者的多起勒索软件攻击已经屡见不鲜,但这是我们第一次看到同一勒索软件行为者在同一天内针对六家医院进行攻击。” 在过去,医院的勒索软件感染已经使患者记录保存数据库瘫痪,这些数据库关键性地存储了最新的医疗信息,影响了医院的医疗服务能力。熟悉攻击事件的三名顾问中的两名表示,网络犯罪分子普遍使用一种名为 “Ryuk “的勒索软件,这种软件会锁定受害者的电脑,直到收到付款。 这位电话会议参与者说,政府官员透露,攻击者使用Ryuk和另一种名为Trickbot的木马来对付医院。 “UNC1878是我在职业生涯中观察到的最无耻、最无情、最具有破坏性的威胁行为者之一,”美国网络事件响应公司Mandiant高级副总裁Charles Carmakal说。“多家医院已经受到Ryuk勒索软件的重大影响,他们的网络已经被关闭。” 专家表示,在本月早些时候微软努力破坏黑客网络之后,Trickbot的部署意义重大。 网络犯罪分析师Stefan Tanase表示,这一举措旨在削弱网络犯罪分子的能力,但他们似乎已经迅速恢复。“我们在这里看到的是确认Trickbot被击垮的报道被大大夸大了。” 微软没有回答置评请求。     (消息来源:cnbeta;封面来自网络)

FIN11 黑客在勒索软件攻击中使用新技术时暴露

一个以恶意软件活动而闻名的资金驱动型攻击组织FIN11,已经研究出了专注于勒索软件和勒索的策略。 据FireEye的Mandiant威胁情报团队称,该组织至少自2016年以来就参与了一系列网络犯罪活动,其中包括利用组织网络获取资金,此外还针对金融、零售、餐厅以及制药行业的销售点(POS)部署了恶意软件。 Mandiant说:“最近最常见的FIN11攻击通过分发CLOP勒索软件导致数据被盗、勒索和破坏受害者网络。” 尽管FIN11在过去的活动与诸如FaultedAmyy、FRIENDSPEAK和MIXLABEL等恶意软件有关,但Mandiant指出,TTP与另一个威胁组织TA505有着显著重叠。TA505是Dridex银行木马和Locky勒索软件的幕后黑手,它们通过Necurs僵尸网络进行恶意垃圾邮件攻击。 今年3月早些时候,微软策划了摧毁Necurs僵尸网络的行动,试图阻止攻击者的进一步活动。 大量恶意垃圾邮件活动 除了利用大量恶意电子邮件分发机制外,FIN11还将其目标扩展到本地语言诱饵,再加上伪造的电子邮件发送者信息,如伪造的电子邮件显示名称和电子邮件发送者地址,以使消息看起来更合法。在2020年,他们更倾向于攻击德国的组织。 例如,该组织在2020年1月发起了一场电子邮件活动,邮件主题包括“research report N-[five-digit number]”和“laboratory accident”,随后,他们在3月发起了第二波攻击,主题为“[pharmaceutical company name] 2020 YTD billing spreadsheet.”。 Mandiant威胁情报公司高级技术分析师Andy Moore通过电子邮件向The Hacker News表明:FIN11的高容量电子邮件分发活动在不断演变。 “有大量公开报告表明,2018年的某个时期,FIN11严重依赖Necurs僵尸网络进行恶意软件分发。值得注意的是,观察到的Necurs僵尸网络停机时间与FIN11的活动停滞直接对应。” 事实上,根据Mandiant的研究,从2020年3月中旬到2020年5月下旬,FIN11的活动似乎已经完全停止,但是在6月再次通过包含恶意HTML附件的钓鱼电子邮件来发送恶意Microsoft Office文件。 Office文件则利用宏来获取MINEDOOR dropper和FRIENDSPEAK downloader,然后将MIXLABEL后门发送到受感染的设备上。 向混合勒索转变 然而,近几个月来,FIN11的货币化努力导致一些组织感染了CLOP勒索软件,此外他们还采取了混合勒索攻击——将勒索软件与数据盗窃相结合,以迫使企业支付从几十万美元到百万美元不等的勒索账单。 Moore说:“FIN11通过勒索软件和勒索手段将入侵行为货币化,这在有经济动机的攻击者中呈现出更广泛的趋势。” “历史上比较常见的货币化策略,例如部署销售点恶意软件,限制了攻击者以某些行业的受害者为目标,而勒索软件的分发可以让攻击者入侵几乎任何组织的网络,然后从中获利。” “这种灵活性,再加上越来越多关于赎金不断膨胀的报道,极大地吸引了有经济动机的攻击者”他补充道。 更重要的是,据称FIN11使用了从地下论坛购买的各种工具(例如FORKBEARD, SPOONBEARD和MINEDOOR),因此很难进行归因。 攻击者可能是CIS出身 至于FIN11的根源,Mandiant表示,由于存在俄语文件元数据,避免在CIS国家部署CLOP,因此该组织在CIS国家之外开展业务。而且,1月1日至8日,俄罗斯新年和东正教圣诞节期间的活动急剧减少。 Moore说:“除非对他们的运营造成某种干扰,否则FIN11极有可能继续部署勒索软件,窃取数据用于勒索。” “由于该组织定期更新其TTP,以逃避检测并提高其活动的有效性,这些渐进性的变化也可能继续下去。然而,尽管最近的活动中,FIN11始终依赖于嵌入的Office文档的恶意更改”。 “我们可以通过培训用户识别网络钓鱼电子邮件、禁用Office宏以及为FRIENDSPEAK downloader执行检测,将被FIN11危害的风险降至最低。”     稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

微软提醒安卓用户当心一款新型勒索软件

微软警告称,一种新型手机勒索软件利用来电通知和安卓的Home按钮锁定设备进行勒索。 这一发现涉及到一个名为“MalLocker.B”的安卓勒索软件家族的变体,该软件现在以新技术重新出现,包括在受感染设备上传递赎金需求的新方法,以及逃避安全解决方案的模糊机制。 在这一事态发展之际,针对关键基础设施的勒索软件攻击激增,过去三个月勒索软件攻击的日均次数比上半年增加了50%,攻击者越来越多地将双重勒索纳入他们的行动计划。 MalLocker被称为恶意网站,它通过伪装成流行应用程序、破解游戏或视频播放器等各种诱饵在在线论坛上传播。 以前的勒索软件利用了安卓的可访问性功能或称为“SYSTEM_ALERT_WINDOW”的权限,在所有其他屏幕上显示一个持久的窗口来显示赎金条,通常伪装成假的警方通告或发现图像的警报。 但就在反恶意软件开始检测到这种行为时,新的安卓勒索软件变种已经进化出了克服这一障碍的策略。MalLocker.B通过一种全新的策略来实现同样的目标。 为此,它利用“呼叫”通知来提醒用户来电,以便显示一个覆盖整个屏幕区域的窗口,然后将其与Home或Recents键组合,以将勒索通知触发到前台,并防止受害者切换到任何其他屏幕。 微软称:“触发勒索软件屏幕的自动弹出无需进行无限重绘或假装成系统窗口。” 安全人员还注意到存在一个尚未集成的机器学习模型,该模型可用于在屏幕内不失真地拟合勒索便条图像,这暗示了恶意软件的下一步的发展。 此外,为了掩盖其真实目的,勒索软件代码被严重混淆,并通过篡改名称和故意使用无意义的变量名和垃圾代码来阻止分析,使其无法阅读。 微软365 Defender研究团队称:“这种新的移动勒索软件变种是一个重要发现,因为这些恶意软件表现出以前从未见过的行为,并可能为其他恶意软件打开大门。”     稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Ryuk 勒索事件分析

Ryuk在29小时内将一封电子邮件发送到了整个域的勒索软件,要求我们以超过600万美元的价格来解锁系统。在勒索过程中,他们使用了Cobalt Strike、AdFind、WMI、vsftpd、PowerShell、PowerView和Rubeus等工具。 在过去的几年里,Ryuk一直是最熟练的勒索团伙之一。FBI声称,截至2020年2月,已经向该团伙支付了6100万美元。 … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1355/       消息与封面来源:THE DFIR REPORT  ,译者:芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Lumu 发布 2020 勒索软件影响与企业应对成本信息图

本周早些时候的一篇报道称,勒索软件攻击已在去年出现了急剧增加的趋势,并且安全研究行业已将之视为一个日益严重的问题。为帮助大家更好地了解勒索软件问题的严重性,Lumu 特地制作了一幅信息图。预计今年,勒索软件能够以单次超 400 万美元的攻击成本,将全球应对代价推升至 200 亿美元。 令人担忧的是,有 36% 的受害者向恶意攻击者支付了赎金。可即便如此,这批受害者中的 17% 还是没能挽回他们的数据。 从区域来看,北美地区有 69% 的企业报告称其受到了勒索软件的影响,欧洲地区的这一数字则是 57% 。 从行业类型来看,北美地区的政府组织受灾影响最大,其次是制造和建筑业。 不过从 Gartner 的分析结果来看,其实超过 90% 以上的勒索软件攻击,原本都是可以做到“防患于未然”的。 作为应对,Lumu 建议企业负责人花几分钟来了解和评估相关信息,以作出防止损失扩大化的明智决策。 感兴趣的朋友,可移步至官网(Lumu.io)了解详情。     (稿源:cnBeta,封面源自网络。)

医疗巨头 UHS 遭遇勒索软件攻击

美国最大的医疗服务机构之一Universal Health Services遭到了勒索软件的攻击。据两名知情人士透露,周日凌晨,UHS系统遭到攻击,全国各地包括加州和佛罗里达州的多家UHS机构的电脑和电话系统被锁定。其中一人说,电脑屏幕上的文字发生了变化,其中提到了 “影子宇宙”,与Ryuk勒索软件的典型症状一致。“每个人都被告知关闭所有的电脑,不要再打开它们,”该人士说。”我们被告知,要过几天电脑才能再次启动。” 目前还不知道勒索软件攻击对患者护理产生了什么影响。 美国另一家医院系统负责网络安全的一位高管表示,病人的医疗数据”很可能是安全的”,因为UHS依靠医疗技术公司Cerner来处理病人的电子健康记录,这位高管因未获授权向媒体发言而不愿透露姓名。 UHS在美国和英国拥有400家医院和医疗机构,每年为数百万患者提供服务。UHS的发言人没有立即回应置评请求。 安全公司Crowdstrike称,Ryuk勒索软件与俄罗斯一个名为Wizard Spider的网络犯罪集团有关。Ryuk的运营者以专门盯紧”大猎物”著称,此前曾针对大型组织,包括航运巨头Pitney Bowes和美国海岸警卫队实施勒索攻击。 一些勒索团伙在今年早些时候表示,他们不会在COVID-19大流行期间攻击医疗机构和医院,但Ryuk的运营商没有这样做。 上周,德国警方在接到一名女性因为勒索软件导致死亡后展开凶杀案调查,这名女性在勒索软件攻击后被转移到另一家医院的途中丧生。     (稿源:cnBeta,封面源自网络。)

一个新的黑客组织用勒索软件 OldGremlin 攻击俄罗斯的公司

近几个月来,针对关键基础设施的勒索软件攻击激增,网络安全研究人员发现了一个新攻击者,该攻击者一直在尝试对俄罗斯的医疗实验室、银行、制造商和软件开发商的大型公司网络进行多阶段攻击。 这个代号为“OldGremlin”的勒索软件团伙至少自3月以来与一系列活动有关,其中包括上月8月11日发生的对一家临床诊断实验室的成功攻击。 新加坡网络安全公司Group-IB在今天发布的一份报告中说:“该组织迄今只针对俄罗斯公司。” “利用俄罗斯作为试验场,这些组织随后转移到其他地区,以减少落网的可能性。” OldGremlin的操作方式包括使用自定义后门(如TinyNode和TinyPosh下载额外的有效负载),最终目标是使用TinyCryptor勒索软件(又名Dec1pt)加密受感染系统中的文件,并以约5万美元的价格进行勒索。 另外,运营商使用代表俄罗斯RBC集团(总部位于莫斯科的主要媒体集团)发送的网络钓鱼电子邮件在网络上获得了最初的立足点,邮件主题中带有“发票”。 攻击者提供了一个恶意链接,当点击该链接会下载TinyNode恶意软件。 攻击者找到他们的出路后,对受感染计算机的进行远程访问,利用它通过Cobalt Strike在网络上横向移动并收集域管理员的身份验证数据。 在3月和4月观察到的另一种攻击变体中,我们发现攻击者使用以COVID为主题的网络钓鱼诱骗,向伪装成俄罗斯小额信贷组织的金融企业提供TinyPosh 木马。 随后,我们在8月19日发现了另一波运动,当时攻击者利用白俄罗斯正在进行的抗议活动谴责政府,发动了网络钓鱼消息,这再次证明了攻击者善于利用世界事件发起攻击。 根据Group-IB的数据,从5月到8月,OldGremlin总共落后了9个竞选活动。 Group-IB的高级数字取证分析师Oleg Skulkin说:“OldGremlin与其他讲俄语的攻击者的区别在于他们无惧在俄罗斯工作。” “这表明攻击者可能在走向全球之前就调整自身的技术以从本国优势中受益,或者它们是俄罗斯一些邻国的代表,这些邻国对俄罗斯掌握了强大的指挥权。”     稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。