笔者也是从去年开始关注勒索病毒及勒索软件,过去黑客攻击炫技居多,现在的攻击求财居多,一旦攻击成功,要么舍弃数据,要么给赎金保全数据,但也有给了赎金不给解密密钥。下面收集了2024年1月以来的勒索相关安全事件信息,希望读者朋友们要引起重视,重要文件和数据离线备份为好。
一、勒索软件攻击事件
1.Conti勒索软件攻击
Conti勒索软件在1月份继续对多个组织进行攻击。该勒索软件采用双重勒索策略,即在加密受害者数据的同时,还会威胁将数据公开或出售。
2.Babuk Locker勒索软件变种
Babuk Locker勒索软件的新变种在1月份出现。这个新版本引入了一些改进的技术,包括更快的加密速度和更复杂的加密算法。
3.Jigsaw勒索软件攻击
Jigsaw勒索软件在1月份针对多个组织发起了攻击。该软件以电影《电锯惊魂》中的角色命名,它采取了渐进式加密策略,每小时删除受害者数据的一部分,直到赎金支付完成。
4.LockBit勒索软件泄露数据
LockBit勒索软件运营商在1月份继续将未支付赎金的受害者数据泄露到暗网。这是一种常见的威胁策略,旨在迫使受害者支付赎金。
5.REvil勒索软件攻击医疗机构
REvil勒索软件针对全球多家医疗机构发起了攻击,包括医院、诊所和药店。这些攻击对医疗行业造成了严重的影响,导致医疗服务中断和数据泄露
二、全球最新勒索安全动态信息
2.1施乐公司遭INC RANSOM勒索软件攻击
https://securityaffairs.com/156679/cyber-crime/inc-ransom-ransomware-xerox-corp.html
INC RANSOM 勒索软件组织声称对美国跨国公司施乐公司进行了黑客攻击。施乐公司在全球范围内提供文档管理解决方案。该公司的文档技术部门提供桌面单色和彩色打印机、多功能打印机、复印机、数字印刷机和轻型生产设备;以及用于图形通信市场和大型企业的生产印刷和出版系统。INC RANSOM 勒索软件组织声称对攻击美国跨国公司施乐公司负责,并威胁要披露涉嫌被盗的数据。INC 勒索组织将 Xerox 添加到其 Tor 泄露网站的受害者名单中。
2.2攻击者利用公开暴露的主机远程桌面部署Trigona勒索软件
https://thedfirreport.com/2024/01/29/buzzing-on-christmas-eve-trigona-ransomware-in-3-hours/
2022 年 12 月下旬,研究人员观察到威胁行为者利用公开暴露的远程桌面协议 (RDP) 主机,导致数据泄露和 Trigona 勒索软件的部署。平安夜,在获得初始访问权限后的短短三个小时内,威胁行为者就在整个网络上执行了勒索软件。威胁行为者使用批处理脚本来窃取数据,并放弃使用一系列可能阻碍防御措施的其他批处理脚本、建立用户帐户、通过防火墙授予 RDP 访问权限以及自动执行其他入侵操作。
2.3研究人员披露Phobos勒索软件变体Faust的攻击活动
https://www.fortinet.com/blog/threat-research/phobos-ransomware-variant-launches-attack-faust
Phobos 勒索软件系列是一组恶意软件,旨在加密受害者计算机上的文件。它于 2019 年出现,此后参与了多次网络攻击。这种勒索软件通常会附加带有唯一扩展名的加密文件,并要求以加密货币支付赎金以获得解密密钥。研究人员捕获并报告了 Phobos 系列的多个勒索软件变体,包括EKING和8Base。最近,研究人员发现了一份 Office 文档,其中包含一个 VBA 脚本,旨在传播 FAUST 勒索软件(Phobos 的另一个变体)。攻击者利用 Gitea 服务存储多个以 Base64 编码的文件,每个文件都携带恶意二进制文件。
2.4研究人员披露恶意PyPI软件包传播WhiteSnake窃取器
https://www.fortinet.com/blog/threat-research/info-stealing-packages-hidden-in-pypi
研究人员在开源 Python 包索引 (PyPI) 存储库中发现了恶意包,这些包在 Windows 系统上传播名为WhiteSnake Stealer的信息窃取恶意软件。这些包含恶意软件的软件包名为nigpal、figflix、telerer、seGMM、fbdebug、sGMM、myGens、NewGends 和 TestLibs111。它们是由名为“WS”的威胁行为者上传的。这些软件包在其 setup.py 文件中合并了 Base64 编码的 PE 源代码或其他 Python 脚本。根据受害者设备的操作系统,最终的恶意负载会在安装这些Python 包时被删除并执行。
2.5新型CherryLoader恶意软件伪装成CherryTree发起攻击
https://arcticwolf.com/resources/blog/cherryloader-a-new-go-based-loader-discovered-in-recent-intrusions/
研究人员在野外发现了一种名为CherryLoader的新的基于 Go 的恶意软件加载程序,可以将额外的有效负载传递到受感染的主机上以进行后续利用。该加载程序的图标和名称伪装成合法的 CherryTree 笔记应用程序,以欺骗潜在受害者安装它。CherryLoader 被用来删除两个权限升级工具 PrintSpoofer 或 JuicyPotatoNG 之一,然后运行批处理文件以在受害者设备上建立持久性。在另一个新颖的变化中,CherryLoader 还包含模块化功能,允许威胁参与者无需重新编译代码即可切换漏洞。
2.6能源公司施耐德电气遭遇Cactus勒索软件攻击
https://www.bleepingcomputer.com/news/security/energy-giant-schneider-electric-hit-by-cactus-ransomware-attack/
据知情人士透露,能源管理和自动化巨头施耐德电气遭受了 Cactus 勒索软件攻击,导致公司数据被盗。勒索软件攻击于本月初的 1 月 17 日袭击了该公司的可持续发展业务部门。这次攻击扰乱了施耐德电气的部分资源顾问云平台,该平台至今仍处于中断状态。据报道,勒索软件团伙在网络攻击期间窃取了数 TB 的公司数据,现在威胁该公司,如果不支付赎金,就会泄露被盗的数据。虽然尚不清楚被盗的数据类型,但可持续发展业务部门为企业组织提供咨询服务,就可再生能源解决方案提供建议,并帮助他们满足全球公司复杂的气候监管要求。
2.7Black Basta 勒索软件免费解密器发布
https://www.securityweek.com/free-decryptor-released-for-black-basta-ransomware/
Black Basta 勒索软件加密算法中的漏洞允许研究人员创建免费解密器。
2.8 Zeppelin2 勒索软件生成器在暗网上出售
https://thecyberexpress.com/zeppelin2-ransomware/
地下论坛上的一名用户正在推销Zeppelin2 勒索软件,提供其源代码和其构建工具的破解版本。Zeppelin2 自 2019 年以来一直使用,针对包括医疗保健和技术在内的各个领域。
2.9Cactus勒索软件攻击了瑞典零售提供商COOP
https://securityaffairs.com/156709/cyber-crime/cactus-ransomware-coop-sweden.html
Cactus 勒索软件组织声称攻击了瑞典最大的零售和杂货提供商之一的 Coop。Coop是瑞典最大的零售和杂货供应商之一,在全国拥有约 800 家商店。这些商店由 29 个消费者协会的 350 万会员共同拥有。企业中创造的所有盈余都会返回给会员或重新投资于企业,从而形成循环。Cactus勒索软件组织声称已经入侵了 Coop,并威胁要披露大量个人信息,包括超过 21000 个目录。Cactus 勒索软件组织将 Coop 添加到其 Tor 泄露网站的受害者名单中。
2.10Zeppelin勒索软件源码在暗网以 500 美元的价格售出
https://www.bleepingcomputer.com/news/security/zeppelin-ransomware-source-code-sold-for-500-on-hacking-forum/
一名威胁行为者在一个网络犯罪论坛上宣布,他们仅以 500 美元的价格出售了 Zeppelin 勒索软件生成器的源代码和破解版。
2.11攻击者利用公开暴露的主机远程桌面部署Trigona勒索软件
https://thedfirreport.com/2024/01/29/buzzing-on-christmas-eve-trigona-ransomware-in-3-hours/
2022 年 12 月下旬,研究人员观察到威胁行为者利用公开暴露的远程桌面协议 (RDP) 主机,导致数据泄露和 Trigona 勒索软件的部署。平安夜,在获得初始访问权限后的短短三个小时内,威胁行为者就在整个网络上执行了勒索软件。威胁行为者使用批处理脚本来窃取数据,并放弃使用一系列可能阻碍防御措施的其他批处理脚本、建立用户帐户、通过防火墙授予 RDP 访问权限以及自动执行其他入侵操作。
2.12研究人员披露Phobos勒索软件变体Faust的攻击活动
https://www.fortinet.com/blog/threat-research/phobos-ransomware-variant-launches-attack-faust
Phobos 勒索软件系列是一组恶意软件,旨在加密受害者计算机上的文件。它于 2019 年出现,此后参与了多次网络攻击。这种勒索软件通常会附加带有唯一扩展名的加密文件,并要求以加密货币支付赎金以获得解密密钥。研究人员捕获并报告了 Phobos 系列的多个勒索软件变体,包括EKING和8Base。最近,研究人员发现了一份 Office 文档,其中包含一个 VBA 脚本,旨在传播 FAUST 勒索软件(Phobos 的另一个变体)。攻击者利用 Gitea 服务存储多个以 Base64 编码的文件,每个文件都携带恶意二进制文件。
2.13 LockBit 勒索团伙对 Capital Health 进行了网络攻击
https://securityaffairs.com/157170/cyber-crime/lockbit-ransomware-hit-capital-health.html
LockBit勒索软件行动声称对 2023 年 11 月袭击 Capital Health医院网络的网络攻击负责。
2.14美国抵押贷款机构 loanDepot 遭遇勒索软件攻击
https://www.freebuf.com/news/389190.html
美国一家抵押贷款机构loanDepot 遭遇一场严重的勒索软件攻击,最终导致其很多内部数据被威胁攻击者加密了。
2.15Babuk攻击者被捕后发布勒索软件变种解密工具
https://blog.talosintelligence.com/decryptor-babuk-tortilla/
研究人员与荷兰警方合作,获得了Babuk 勒索软件 Tortilla 变种的解密工具,并分享了导致勒索软件操作者被捕的情报。Tortilla 是 Babuk 勒索软件变种,在原始恶意软件的源代码在黑客论坛上泄露后不久就出现了。其背后的威胁行为者一直利用 ProxyShell 漏洞攻击 Microsoft Exchange 服务器 来部署数据加密恶意软件。在新变种出现前一个月, Avast 发布了 Babuk 的解密器,但它不适用于Tortilla 加密,因为它使用了不同的私钥。执法机构在阿姆斯特丹识别并逮捕了 Tortilla 勒索软件操作背后的威胁行为者。据研究人员称,该可执行文件包含在所有攻击中使用的单个公钥/私钥对。提取密钥后,分析人员将其与 Avast 共享以更新他们的 Babuk 解密器。
2.16巴拉圭军方声称Tigo运营商遭勒索攻击数据泄露
https://www.bleepingcomputer.com/news/security/paraguay-warns-of-black-hunt-ransomware-attacks-after-tigo-business-breach/
Tigo Business 上周遭受网络攻击,影响该公司业务部门的云和托管服务后,巴拉圭军方就 Black Hunt 勒索软件攻击发出警告。Tigo 是巴拉圭最大的移动运营商,其 Tigo 业务部门为企业提供数字解决方案,包括网络安全咨询、云和数据中心托管以及广域网(WAN) 解决方案。周末,当地媒体报道称,自周四以来,各公司在 Tigo Business 托管的网站上一直处于中断状态。尽管人们怀疑 Tigo 遭受了网络攻击,但该公司直到周末发布声明才正式确认此次攻击。“1 月 4 日,我们的 Tigo Business 巴拉圭基础设施即服务发生安全事件,影响了向企业部门(公司)的有限客户群体正常提供一些特定服务。” Tigo Business 的一份声明中写道。声明还表示,网上报道的大部分新闻都不准确,此次攻击并未影响互联网、电话服务和 Tigo Money 电子钱包。虽然 Tigo 没有提供有关网络攻击的任何细节,但社交媒体上的大量报道表明他们遭受了 Black Hunt 勒索软件操作的攻击。这些报告指出,超过 330 台服务器被加密,备份在攻击期间遭到破坏。
2.17攻击者冒充安全人员对Royal和Akira勒索受害者发起攻击
https://arcticwolf.com/resources/blog/follow-on-extortion-campaign-targeting-victims-of-akira-and-royal-ransomware/
一些受 Royal 和 Akira 勒索软件团伙侵害的组织已成为冒充安全研究人员的威胁行为者的目标,该威胁行为者承诺攻击原始攻击者并删除被盗的受害者数据。Royal 和 Akira 勒索软件操作均采用双重勒索策略——窃取信息后对受害者系统进行加密,并威胁称除非支付赎金,否则就会泄露数据。网络安全公司表示,它已经调查了“几起案件”,在这些案件中,支付赎金的两个勒索软件组织的受害者被自称是道德黑客或对该领域有深入了解的安全研究人员的威胁行为者接触。这名冒牌研究人员主动提出提供对攻击者服务器上仍然存在的被盗数据的访问证明,并表示只要支付最多 5 个比特币(当时约为 19 万美元)的费用,他们就可以将其删除。研究人员介绍了 2023 年 10 月和 11 月的两个案例,网络犯罪分子联系了受到 Royal 和 Akira 勒索软件危害的组织。
2.18Akira勒索软件可擦除NAS和磁带备份设备的数据
https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/suomalaiset-organisaatiot-akira-kiristyshaittaohjelmien-kohteena
芬兰国家网络安全中心(NCSC-FI) 通报 Akira 勒索软件活动在 12 月份有所增加,该活动针对该国的公司并擦除备份。该机构表示,上个月报告的 7 起勒索软件事件中,有 6 起是由威胁行为者发起的。擦除备份会放大攻击的损害,并允许威胁行为者向受害者施加更大的压力,因为他们消除了无需支付赎金即可恢复数据的选项。小型组织经常使用网络附加存储 (NAS) 设备来实现此目的,但芬兰机构强调,这些系统也未能幸免于 Akira 勒索软件攻击。攻击者还针对磁带备份设备,这些设备通常用作存储数据数字副本的辅助系统。
2.19Kasseika勒索软件使用BYOVD手段对抗安全防护软件
https://www.trendmicro.com/en_us/research/24/a/kasseika-ransomware-deploys-byovd-attacks-abuses-psexec-and-expl.html
Kasseika的勒索软件组织加入了Akira、AvosLocker、BlackByte 和 RobbinHood等其他组织的行列,成为最新一个利用自带漏洞驱动程序 ( BYOVD ) 攻击来解除受感染 Windows 主机上的安全相关进程的勒索软件组织。该策略允许“威胁行为者终止防病毒进程和服务以部署勒索软件” 。Kasseika于 2023 年 12 月中旬首次由网络安全公司发现,与现已解散的BlackMatter存在重叠,后者是在 DarkSide 关闭后出现的。有证据表明,勒索软件病毒可能是一位经验丰富的威胁行为者所为,该行为者获取或购买了 BlackMatter 的访问权限,因为后者的源代码在 2021 年 11 月消亡后从未公开泄露。涉及 Kasseika 的攻击链从用于初始访问的网络钓鱼电子邮件开始,随后丢弃远程管理工具 (RAT) 以获得特权访问并在目标网络内横向移动。
2.20 Medusa勒索软件攻击活动呈上升趋势
https://unit42.paloaltonetworks.com/medusa-ransomware-escalation-new-leak-site/
自 2023 年 2 月在暗网上首次出现专门的数据泄露网站以来,与Medusa 勒索软件相关的威胁行为者加大了活动力度,以发布不愿同意其要求的受害者的敏感数据。作为多重勒索策略的一部分,当受害者的数据发布在泄露网站上时,该组织将为受害者提供多种选择,例如延长时间、删除数据或下载所有数据。所有这些选项都有一个价格标签,具体取决于受该群体影响的组织。Medusa(不要与 Medusa Locker 混淆)是指 2022 年底出现、并于 2023 年盛行的勒索软件家族。它伺机攻击高科技、教育、制造、医疗保健和零售等广泛行业。据估计,2023 年将有多达 74 个组织受到勒索软件的影响,其中大部分位于美国、英国、法国、意大利、西班牙和印度。
2.21研究人员披露2023年有近5200起组织遭勒索软件攻击事件
https://www.rapid7.com/blog/post/2024/01/12/2023-ransomware-stats-a-look-back-to-plan-ahead/
2023 年有近 5200 个受害者组织遭受勒索软件攻击,并从其管理的检测和响应团队的公开披露和事件数据中进行了研究。研究人员认为这个数字实际上更高,因为它没有考虑到许多可能未被报告的攻击。虽然勒索软件活动仍然很高,但用于这些攻击的独特勒索软件家族的数量减少了一半以上,从2022年的95个新家族减少到2023年的43个。比克表示,这表明当前的勒索软件系列和模型正在满足威胁行为者的目标。研究人员称AlphV是去年最活跃的威胁组织。
2.22攻击者滥用TeamViewer软件部署勒索攻击软件
https://www.huntress.com/blog/ransomware-deployment-attempts-via-teamviewer
勒索软件攻击者再次使用TeamViewer 获得对组织端点的初始访问权限,并尝试基于泄露的 LockBit 勒索软件构建器部署加密器。TeamViewer 是一种在企业界广泛使用的合法远程访问工具,因其简单性和功能而受到重视。不幸的是,该工具也受到诈骗者甚至勒索软件攻击者的使用,他们使用它来访问远程桌面,不受阻碍地删除和执行恶意文件。研究人员的一份新报告显示,网络犯罪分子并没有放弃这些旧技术,仍然通过 TeamViewer 接管设备来尝试部署勒索软件。分析的日志文件(connections_incoming.txt) 显示这两种情况下都来自同一来源的连接,表明这是一个共同的攻击者。
2.22Tietoevry勒索软件攻击导致瑞典企业和城市停电
https://www.tietoevry.com/en/newsroom/all-news-and-releases/other-news/2024/01/ransomware-attack-in-sweden-update/
芬兰 IT 服务和企业云托管提供商 Tietoevry 遭受勒索软件攻击,影响其位于瑞典的一个数据中心的云托管客户,据报道,此次攻击是由Akira 勒索软件团伙发起的。Tietoevry 是一家芬兰 IT 服务公司,为企业提供托管服务和云托管。该公司在全球拥有约 24000 名员工,2023 年收入为 31 亿美元。Tietoevry 今天证实,勒索软件攻击发生在周五晚上到周六早上,仅影响了他们位于瑞典的一个数据中心。Tietoevry在一份新闻声明中解释道:“此次攻击仅限于我们瑞典数据中心的一部分,影响了 Tietoevry 为瑞典部分客户提供的服务。”“Tietoevry 立即隔离了受影响的平台,勒索软件攻击并未影响公司基础设施的其他部分。”
2.23 3AM勒索软件与Conti组织和Royal勒索软件有关联性
https://www.bleepingcomputer.com/news/security/researchers-link-3am-ransomware-to-conti-royal-cybercrime-gangs/
安全研究人员分析了最近出现的 3AM勒索软件操作的活动,发现其与 Conti 集团和 Royal 勒索软件团伙等组织有密切联系。3AM(也拼写为 ThreeAM)也一直在尝试一种新的勒索策略:与受害者的社交媒体关注者分享数据泄露的消息,并使用机器人回复 X(以前称为 Twitter)上的高级帐户,发送指向数据泄露的消息。研究人员注意到威胁参与者在部署 LockBit 恶意软件失败后转而使用 ThreeAM 勒索软件。ThreeAM 很可能与 Royal 勒索软件组织有关,该组织现已更名为Blacksuit,该团伙由 Conti 集团内 Team 2 的前成员组成。
2.24航空租赁巨头 AerCap 遭受勒索软件攻击
https://www.securityweek.com/aircraft-lessor-aercap-confirms-ransomware-attack/
全球最大的航空租赁公司 AerCap于 1 月 17 日遭受勒索软件攻击。
三、勒索软件攻击趋势
1.攻击目标多样化
勒索软件攻击的目标已从传统的企业扩展到包括政府机构、医疗机构、教育机构和非营利组织等各个行业。这主要是因为这些组织通常具有重要的数据和资产,并且可能在安全措施方面较为薄弱。
双重勒索策略:勒索软件的攻击者越来越倾向于采用双重勒索策略。除了加密受害者的数据之外,他们还会威胁将数据公开或出售,以进一步迫使受害者支付赎金。
2.渐进式加密
一些勒索软件开始采用渐进式加密策略,即逐步加密受害者的数据,以增加威胁和迫使受害者尽快支付赎金。
3.数据泄露
为了增加对受害者的压力和激励其支付赎金,勒索软件运营商逐渐采用数据泄露的手段。他们将未支付赎金的受害者数据公开或出售,可能导致严重的声誉损失和合规问题。
4.暗网交易平台
勒索软件运营商越来越倾向于在暗网上建立交易平台,用于发布勒索软件攻击的公告、接收赎金支付和泄露受害者数据等。这些平台使得勒索软件的攻击更加组织化和商业化。
面对不断增长的勒索软件威胁,组织和个人需要加强防御和准备措施。这包括定期备份数据、更新和维护安全补丁、培训员工识别和应对钓鱼邮件、部署有效的终端保护和网络安全解决方案等。
原文始发于微信公众号(小兵搞安全):2024年1月勒索安全事件信息收集
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论