标签: TeleBots

Verizon 发布《 2018 年数据泄露调查报告》:勒索软件已成为最流行的恶意软件

据外媒报道,美国电信巨头 Verizon 于本周二在其 2018 年数据泄露调查报告 (DBIR)中称,勒索软件攻击事件数量在过去一年中翻了一倍,成为最流行的恶意软件,这是因为黑客组织想通过锁定关键的业务系统来要求支付赎金,从而获取巨大的利益。 Verizon 执行董事安全专业服务部门的 Bryan Sartin 在一份声明中表示:“勒索软件是目前最流行的恶意软件攻击形式。近年来它的使用量大幅增加,因为现在企业仍然没有投资合适的安全策略来打击勒索软件,这意味着他们在面对勒索攻击时别无选择,只能向网络犯罪分子支付赎金”。 Verizon 在分析了 53,000 多起安全事件(其中包括 2,215 起违规事件)后表示,勒索软件攻击占特定恶意软件事件的 39%。 推动勒索软件攻击的一个趋势是针对关键业务系统(非台式机)的能力,这些系统可能对公司造成更多损害,并且很可能黑客组织试图将其作为勒索目标从中获取更多的利益。目前随着时间的推移,勒索软件事件中的资产类别已经从用户设备走向服务器,Verizon 说这是因为黑客意识到加密文件服务器或数据库比单个用户的设备更具破坏性。 Verizon 表示,横向移动和其他威胁活动经常会卷入其他可用于感染和遮挡的系统中。这些勒索软件攻击对黑客组织来说很有吸引力,因为黑客本身几乎不需要承担任何风险或成本,并且也不需要违反保密条款来实现其目标。 Verizon 在其报告中称,目前许多黑客已将钱财视为其首要任务,根据调查,有 76% 的违规行为都是出于财务动机。 例如 2017 年勒索软件最突出的例子 —  5 月份的 WannaCry 和 NotPetya 攻击。WannaCry 勒索软件通过感染 150 个国家 30 多万个系统,要求支付 300 美元的赎金才能解密密钥。与此同时,NotPetya 加密了主引导记录,并要求以比特币作为赎金支付的主要形式。 10 月份,另一宗勒索软件活动 BadRabbit 震动了安全行业 ,这项与俄罗斯 Telebots 有关的活动是在俄罗斯、乌克兰和东欧的网站上使用恶意软件发起的。在该事件中,攻击者瞄准基础设施(不仅仅只是桌面系统)并造成了巨大损害,其中乌克兰遭受了关键网络资产和基础设施的最大破坏。 最近,在 2018 年 3 月,亚特兰大市成为勒索软件攻击的目标。该起事件影响了几个部门,并瘫痪了处理付款和传递法院信息的政府网站。随后,亚特兰大市被要求支付 51,000 美元以换取密钥来解密系统。 为减轻勒索软件攻击的可能性,Verizon 在其报告中建议用户应确保有常规备份,并且隔离那些很重要的资产,以及将其放在业务连续性的优先级上。 Verizon 发现,总体而言,黑客、恶意软件和社交攻击(如网络钓鱼)等是过去一年中最多的安全违规事件。 除此之外,分布式拒绝服务(DDoS)攻击是 Verizon 2018 年报告强调的另一个重大威胁。Verizon 表示:“ DDoS 攻击可能会对任何人造成影响,因为它经常会被用作伪装启动或者停止后重新启动,以隐藏正在进行的其他违规行为。 目前来说,大多数网络犯罪分子具有经济动机,因此,他们针对金融、保险和零售行业发起的攻击不足为奇。Corero Network Security 的产品管理总监 Sean Newman 认为对于能够希望实现 100% 正常运行的在线公司而言,实时检测并自动减轻攻击的 DDoS 技术应该是必备的要求。 消息来源:threatpost,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

恶意软件 TeleBots 迅速崛起:乌克兰金融业的噩梦

近日,安全公司 ESET 发布研究报告称,一种名为 TeleBots 的新恶意软件针对乌克兰金融行业进行攻击,通过鱼叉式网络钓鱼攻击传递恶意 Excel 文档感染计算机。据 ESET 分析 TeleBots 背后团队的作案方式与 2016 年初乌克兰电网被黑的手法非常相似,甚至怀疑 BlackEnergy 团队已经转变成了 TeleBots 团队。 ESET 报告显示,攻击者会将带有恶意宏的 Excel 作为初始媒介附在电子邮件中,通过鱼叉式网络钓鱼攻击目标电脑、自动下载恶意软件,同时进一步感染系统、盗取文件甚至渗透整个网络。攻击者能够从电脑中获取想要的任何信息。 ESET 研究员透露 “攻击者利用 excel 执行宏主要是为了通过 explorer.exe 获取木马下载器、使目标感染其他恶意软件。这个木马下载器由 rust 语言编写” 。 TeleBots 会使系统无法开机 此时受害者电脑中会存在一种 Python 编写的 “Python/TeleBot.AA” 后门,这是 TeleBots 的主要部分, “TeleBots” 之名也因此得来。攻击者还会在系统中部署 BlackEnergy 的 KillDisk 组件,使计算机或其中关键系统无法正常启动。 BlackEnergy 和 TeleBots 恶意宏代码的相似之处 系统感染 TeleBots 后,KillDisk 组件便会删除系统文件并将开机页面改为 Mr. Robot 的电视节目画面。 报告指出,KillDisk 本身并不存储这张图片,而是利用 Windows GDI 实时画出了这幅图。很显然,攻击者也是投入了大量精力在编写这段绘制图片的代码上。 俄罗斯黑客或是幕后黑手? 目前 TeleBots 的感染范围尚未可知。安全公司在溯源过程中发现可与 TeleBots 进行通讯的 BCS 服务器,其中包含部分俄语说明文档,俄罗斯黑客也一度被怀疑是幕后黑手。 稿源:本站翻译整理, 封面:百度搜索