【摘要】
时间:2020年8月10日-2020年8月16日
Avaddon勒索软件启动数据泄漏站点以勒索受害者;
Nefilim勒索软件运营商入侵了SPIE Group;
拉斐特市因无法从备份中还原必要的文件而被迫支付45,000美元;
Dharma勒索软件运营商创建了一个黑客工具包;
世界上最大的邮轮运营商披露了未知勒索软件攻击;
【Avaddon勒索软件启动数据泄漏站点以勒索受害者】
简介
Avaddon勒索软件是最新流行的勒索软件活动,之前深信服安全团队已经对此新出现的勒索软件进行了分析与追踪。
【流行威胁追踪】干柴遇烈火,Avaddon勒索软件遇Excel 4.0宏
发展
近期该勒索运营商在俄语论坛上宣布,他们已经启动了一个新的数据泄漏站点,目前经追踪发现最新泄露的数据来源于斯诺伐克的一家制造业公司。
结论
随着数据泄露站点的发布,表明该运营团伙已将勒索软件攻击升级为数据泄露事件。
【Nefilim勒索软件运营商入侵了SPIE Group】
简介
Nefilim勒索软件最早出现于2020年3月,它是一种新开发的勒索软件,通过垃圾邮件,P2P文件共享,免费软件,恶意网站,Torrent网站和易受攻击的RDP平台等各种方式传播。经研究人员分析后发现与另一个流行勒索软件家族NEMTY共享相当一部分代码,而目前NEMTY和Nefilim/Nephilim背后的确切关系尚不清楚。
发展
近期监测到Nefilim勒索软件运营商入侵了SPIE Group,SPIE Group是欧洲独立的多技术服务领导者。SPIE集团提供能源和通信领域的多技术服务,拥有47,200多名员工,2019年合并收入为69亿欧元,合并EBITA为4.16亿欧元。经分析,Nefilim勒索软件运营商总共发布了18,551个数据文件夹中包含的65,042个文件。
结论
Nefilim勒索软件运营商在此期间仍然非常活跃,勒索软件攻击的数量持续增加,黑客还窃取了受害者的数据,并威胁他们如果不支付赎金就释放被盗的信息。
【拉斐特市因无法从备份中还原必要的文件而被迫支付45,000美元】
简介
7月27日,美国科罗拉多州拉斐特市的系统感染了勒索软件,恶意代码影响了电话服务,电子邮件和在线支付预订系统。纽约市并未立即披露其系统故障的原因,而是邀请市民使用911或其他号码进行紧急服务。
发展
现在,拉斐特市承认他们是勒索软件攻击的受害者,该勒索软件攻击对其系统进行了加密,在对情况和成本情况进行了彻底检查之后,考虑到居民长时间不便的服务中断的可能性,确定获得解密工具远远少于了重建数据和系统的成本与时间,并确认选择支付45,000美元的赎金以接收解密工具来恢复其文件。
结论
攻击者要求的少量赎金表明,这不是主要的活跃勒索软件运营商之一,因为例如Maze,REvil或Clop,它们通常要求更高的赎金。
【Dharma勒索软件运营商创建了一个黑客工具包】
简介
Dharma勒索软件是当今运营时间最久的勒索软件系列之一,自2016年3月左右起,以CrySiS为名称开始,但其主解密密钥于2016年11月在BleepingComputer论坛上的帖子中泄露。不久之后,勒索软件的新变体被发布,将.dharma扩展名附加到加密文件中。这些变体大概率是由于后续使用者购买源码进而修改分发的,从那时起,这个家族及其不断涌现的新变种就被称为Dharma。与其他针对大型企业的RaaS运营勒索十万至数百万美元的赎金不同,Dharma的赎金价格普遍较低,平均需求约为9,000美元。
发展
近期该运营商基于RaaS提供了新工具包,与许多仅与经验丰富的黑客合作的私有勒索软件RaaS运营商不同,Dharma运营商提供了这种现成的工具包,该工具包允许任何想要进行非法目的人轻松入侵网络,其较低的价格可能反映出想要降低会员的进入门槛。
结论
通过提供工具包和使用方法文档,Dharma可以招募到更多潜在的会员。降低门槛势必会增加群体数量,因此如此庞大的用户群体使他们能够建立一个广泛的攻击网络,以抓住尽可能多的受害者。而受害者支付较小的赎金,随着累计则可能构成更大的金额,影响也会随之加大。
【柯尼卡美能达遭到RansomEXX勒索软件攻击】
简介
柯尼卡美能达(Konica Minolta)是日本跨国商业技术巨头,拥有近44,000名员工,2019年的收入超过90亿美元。该公司提供多种服务和产品,从打印解决方案,医疗技术到为企业提供托管IT服务。
发展
商业技术巨头柯尼卡美能达(Konica Minolta)在7月底遭到RansomEXX勒索软件攻击,该攻击影响了服务近一周。而RansomEXX勒索软件在2020年5月份就已攻击了美国德克萨斯州法院和德克萨斯州交通运输部,该勒索软件活动较为频繁,正在针对性攻击特定目标。
结论
与之前分析的WastedLocker相似,属于定点定向攻击,因为释放的勒索信中指明了被攻击对象,从运行后弹出的状态窗口可以判断这是入侵后手工执行勒索软件,便于攻击者查看实时状态。
【世界上最大的邮轮运营商披露了未知勒索软件攻击】
简介
Carnival Corporation公司是全球最大的邮轮运营商,拥有超过150,000名员工,拥有600艘船队,拥有多个邮轮品牌。它在8月15日星期六遭受了未知勒索软件攻击,黑客窃取了其中的一些数据。
发展
今年早些时候,即3月,该公司披露了另一项安全漏洞,表明入侵者在2019年4月至2019年6月之间可以访问其内部网络,从那里他们窃取了一些客人的个人信息。但Carnival Corporation公司没有透露有关本次勒索事件本身的任何细节,例如其用于加密其网络的勒索软件的名称,或者其许多内部网络/品牌中的哪个受到了影响。
结论
网络犯罪分子针对定点定向攻击的趋势越来越明显,越来越多的获利手段最后都指向了勒索软件攻击。
【安全建议】
* 切勿点击未验证/不确定的链接
* 不要打开不受信任的电子邮件附件
* 仅从信任的网站下载
* 切勿使用不熟悉的USB设备
* 使用安全软件并保持更新
* 定期备份数据
* 从网络中隔离受感染的系统
* 使用邮件服务器内容扫描和过滤
【参考】
https://www.bleepingcomputer.com/news/security/avaddon-ransomware-launches-data-leak-site-to-extort-victims/
https://securityaffairs.co/wordpress/106969/malware/nefilim-ransomware-spie-group.html
https://zephyrnet.com/zh-CN/nefilim%E5%8B%92%E7%B4%A2%E8%BD%AF%E4%BB%B6%E5%AF%B9%E6%A9%99%E8%89%B2%E4%B8%9A%E5%8A%A1%E8%A7%A3%E5%86%B3%E6%96%B9%E6%A1%88%E7%9A%84%E6%94%BB%E5%87%BB/
https://securityaffairs.co/wordpress/107023/malware/city-of-lafayette-ransowmare.html
https://www.bleepingcomputer.com/news/security/business-technology-giant-konica-minolta-hit-by-new-ransomware/
https://www.bleepingcomputer.com/news/security/new-ransom-x-ransomware-used-in-texas-txdot-cyberattack/
https://www.zdnet.com/article/worlds-largest-cruise-line-operator-discloses-ransomware-attack/
https://www.sec.gov/ix?doc=/Archives/edgar/data/815097/000095014220002039/eh2001078_8k.htm
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论