银行大盗 Carbanak 勒索软件卷土重来

勒索软件

银行恶意软件 "Carbanak "最近展现出新的行动力。黑客们正在利用该软件进行勒索攻击，并采用了与以往完全不同的全新策略。网络安全公司NCC集团在分析了今年11月的勒索软件攻击事件后指出：该恶意软件已经经过调整和升级，现在加入了攻击供应商和全新技术，这使得它的攻击更加有效且更具多样性。

Carbanak通过新的传播链卷土重来

上个月，Carbanak通过感染被入侵的网站，伪装成各种商业相关软件进行传播，这些冒充的工具包括了一些流行的商务软件，如HubSpot、Veeam和Xero。最初，Carbanak是在2014年被发现的，以其数据外泄和远程控制功能而闻名。它最初是一种银行恶意软件，后来被 FIN7 网络犯罪集团利用。根据NCC Group的记录，这些被感染的网站会植入恶意安装程序文件，然后伪装成合法的实用程序，最终引发Carbanak的操作，以实现他们的勒索目的。

2023年勒索软件攻击事件激增

今年11月，共报告了442起勒索软件攻击事件，较10月的341起有所增加。截止目前，今年总共报告了4276起这类事件，而2021年和2022年的勒索事件总和仅为5198起。根据NCC公司的数据，工业（占33%）、消费周期（占18%）和医疗保健（占11%）成为最主要的攻击目标行业，而北美（占50%）、欧洲（占30%）和亚洲（占10%）则占据了大部分攻击地区。就勒索软件家族而言，LockBit、BlackCat和Play是最常见的，它们在442次攻击中占了47%（即206次攻击）。本月，BlackCat遭到了当局的解散，这将对近期的威胁格局产生何种影响，值得密切关注。

NCC 集团全球威胁情报主管Matt Hull称：今年只剩最后一个月，然而攻击总数已超过 4000 次，与 2021 年和 2022 年相比增幅巨大，因此明年勒索软件水平是否会继续攀升值得关注。

网络保险公司Corvus也证实了11月份勒索软件攻击的激增事实，该公司称又发现了484名新的勒索软件受害者，这些受害者信息已经被公布到了泄密网站上。

该公司表示：整个勒索软件生态系统已经成功地脱离了 QBot，同时正在为勒索软件集团带来收益回报。

造成这个变化的原因是因为此前执法部门捣毁 QBot（又名 QakBot）基础设施的结果。微软上周披露了传播该恶意软件的小规模网络钓鱼活动的细节，更加凸显了彻底捣毁这些组织所面临的挑战。

与此同时，卡巴斯基透露，Akira勒索软件的安全措施会在试图使用网络浏览器中的调试器访问该网站时引发异常，从而防止其通信网站被分析。

这家俄罗斯网络安全公司进一步强调，勒索软件运营商利用Windows通用日志文件系统(CLFS)驱动程序中的不同安全漏洞——CVE-2022-24521、CVE-2022-37969、CVE-2023-23376、CVE-2023-28252 (CVSS得分:7.8)——进行权限升级。

原文始发于微信公众号（安全圈）：【安全圈】银行“大盗” Carbanak 勒索软件卷土重来