年关将近,黑客攻击愈发猖獗,勒索攻击越发频繁猛烈。近日,亚信安全截获了多只新型勒索病毒,这些勒索病毒具有比较典型的特征。为了便于用户借鉴及排查内网安全隐患,我们整理了病毒通告,为用户敲响警钟,预防勒索攻击事件发生,保护用户财产免受损失,避免用户因数据泄露而带来的名誉损失。
| 11月初,某知名金融机构在官网发布声明称,其遭受勒索软件攻击,导致部分系统中断。
|
众多恶意威胁屡禁不止,这其中CACTUS勒索病毒、Akira勒索病毒、Blackbit勒索病毒在2023年尤为活跃,通过暴力破解、远程控制等手段侵入系统,加密主机上的文件,并勒索高额的赎金。
CACTUS勒索病毒于2023年3月开始持续活跃,其利用Fortinet VPN的已知漏洞进行入侵(在调查的所有事件中,黑客都是从拥有VPN服务帐户的VPN服务器转而进入内部的)。获取初始访问权限后,攻击者使用Netscan、PSnmap的修改版本对域内机器进行网络扫描,通过各种合法工具,远程软件进行控制。利用有效账户通过RDP进行横向移动。为了规避检测,该勒索通过7 zip加密自身,并通过常用软件GUID来定向卸载杀毒软件。
【CACTUS勒索信】
Akira勒索于2023年3月出现,其主要针对企业进行攻击。据安全媒体报道,其攻击目标包括教育、金融、房地产、制造业和咨询业。该勒索不仅攻击Windows系统,还通过添加Linux加密器,针对 VMware ESXi 虚拟机进行攻击。
【Akira发现时间线】
该勒索的初始入侵可能利用了 Cisco VPN (失陷账户),或者是远程控制软件滥用,其中包括RustDesk/Anydesk远程桌面。RustDesk是首次发现被利用,其可以在 Windows,macOS 和 Linux 上跨平台操作,涵盖了 Akira 的全部目标范围。被勒索加密后的文件,其后缀为. Akira。
【Akira勒索信】
BlackBit勒索家族通常是利用RDP暴力破解获取对目标机器的初始访问权限。RDP暴力破解(RDP brute force)是指攻击者使用自动化工具或脚本,尝试使用各种可能的用户名和密码组合登录远程桌面协议(Remote Desktop Protocol, RDP)服务的过程。攻击者通过尝试多个用户名和密码组合,来获取未经授权的访问权限,然后进一步入侵受害者的系统或网络。
攻击者可以使用多种方式进行RDP暴力破解攻击,例如使用常见的用户名和密码列表,或使用字典攻击工具自动生成密码组合。这种攻击方式对于那些使用弱密码或默认凭据的系统来说尤其危险,因为攻击者可以很容易地通过RDP暴力破解来获取访问权限。一旦BlackBit 勒索软件成功进入系统,它会加密主机上的文件,并勒索高额的赎金。
【BlackBit攻击流程】
BlackBit勒索家族加密文件的新名称格式为“[攻击者邮件地址][唯一系统 ID][原始文件名].BlackBit”,创建名为“info.hta”和“Restore-My-Files.txt”的勒索信息文件。
【BlackBit勒索信】
-
全面部署安全产品,保持相关组件及时更新; -
及时修复系统及应用软件漏洞; -
不要点击来源不明的邮件、附件以及邮件中包含的链接; -
请到正规网站下载程序; -
采用高强度的密码,避免使用弱口令密码,并定期更换密码; -
尽量关闭不必要的端口及网络共享 -
请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。
|
感谢您花时间阅读我们提供的这篇文章。我们非常重视您的时间和精力,并深知信息对您的重要性。 我们希望了解您对这篇文章的看法和感受。我们真诚地想知道您是否认为这篇文章为您带来了有价值的资讯和启示,是否有助于您的个人或职业发展。 如果您认为这篇文章对您非常有价值,并且希望获得更多的相关资讯和服务,我们愿意为您提供进一步的定制化服务。请通过填写我们提供的在线表单,与我们联系并提供您的邮箱地址或其他联系方式。我们将定期向您发送相关资讯和更新,以帮助您更好地了解我们的服务和文章内容。  |
END
原文始发于微信公众号(信息安全大事件):年关将至,恶意猖獗,这3大勒索病毒一定要当心!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论