【突发】五大企业遭遇勒索攻击,全新勒索家族DoNex正在肆虐

admin
admin
admin
141215
文章
117
评论
2024年3月9日13:25:57评论54 views字数 3541阅读11分48秒阅读模式

【突发】五大企业遭遇勒索攻击,全新勒索家族DoNex正在肆虐

01

事件概述

【突发】五大企业遭遇勒索攻击,全新勒索家族DoNex正在肆虐
近日,矢安科技威胁情报中心在日常威胁狩猎过程中监测到一个全新的勒索软件家族“DoNex”,该勒索家族当前主要针对Windows系统用户进行数据加密勒索且攻势迅猛。截止本文发稿已有超过5家公司或团体遭受其勒索攻击。
【突发】五大企业遭遇勒索攻击,全新勒索家族DoNex正在肆虐

02

家族详情

【突发】五大企业遭遇勒索攻击,全新勒索家族DoNex正在肆虐
根据我们捕获到的样本以及泄露的数据初步判断,DoNex勒索家族最早的一次攻击活动可以追溯到24年一月(可能还要更早),该勒索家族采用“双重勒索”策略,除了加密目标用户文件数据使其无法正常访问外,还会通过网络回传用户重要敏感信息数据,然后通过搭建暗网论坛等方式公开威胁受害者,以增加其勒索成功率。
DoNex勒索家族摘要
首次出现
2024年1月
针对目标
荷兰、美国、比利时、意大利、捷克共和国
针对行业
人员招聘、物流运输、汽车支付、电子制造、旅游娱乐、服务业等
传播方式
未知
勒索策略
双重勒索
加密算法
AES+RSA
加密后缀
.f58A66B51
支付方式
未知
能否解密
无法解密
赎金通知
Readme. f58A66B51.txt
联系方式
[email protected]
http://g3h3klsev3eiofxhykmtenmdpi67wzmaixredk5pjuttbx7okcfkftqd.onion

表1-1 DoNex勒索家族信息摘要

DoNex勒索家族执行后会遍历用户磁盘对指定后缀文件进行加密,加密文件统一使用“.f58A66B51”格式作为后缀。
【突发】五大企业遭遇勒索攻击,全新勒索家族DoNex正在肆虐
随后在每个加密文件目录下创建勒索信,勒索信格式为:“ Readme.f58A66B51.txt”
【突发】五大企业遭遇勒索攻击,全新勒索家族DoNex正在肆虐
勒索信详情:
!!! DoNex ransomware warning !!!
>>>> Your data are stolen and encrypted
The data will be published on TOR website if you do not pay the ransom
Links for Tor Browser:
http://g3h3klsev3eiofxhykmtenmdpi67wzmaixredk5pjuttbx7okcfkftqd.onion
>>>> What guarantees that we will not deceive you?
We are not a politically motivated group and we do not need anything other than your money.
If you pay, we will provide you the programs for decryption and we will delete your data.
If we do not give you decrypters, or we do not delete your data after payment, then nobody will pay us in the future.
Therefore to us our reputation is very important. We attack the companies worldwide and there is no dissatisfied victim after payment.
>>>> You need contact us and decrypt one file for free on these TOR sites with your personal DECRYPTION ID
Download and install TOR Browser https://www.torproject.org/
Write to a chat and wait for the answer, we will always answer you.
You can install qtox to contanct us online https://tox.chat/download.html
Tox ID Contact: 2793D009872AF80ED9B1A461F7B9BD6209744047DC1707A42CB622053716AD4BA624193606C9
Mail (OnionMail) Support: [email protected]
>>>> Warning! Do not DELETE or MODIFY any files, it can lead to recovery problems!
>>>> Warning! If you do not pay the ransom we will attack your company repeatedly again!
者清单:
通过攻击者在暗网公布的数据显示,当前已经有5家公司遭受勒索攻击。分别涉及多个国家地区的不同行业。
【突发】五大企业遭遇勒索攻击,全新勒索家族DoNex正在肆虐
泄露数据从19GB-39GB不等:
【突发】五大企业遭遇勒索攻击,全新勒索家族DoNex正在肆虐
受害公司信息概览:
序号
受害者
所属国家
公开日期
所属行业
1
Mirel
比利时
2024-02-27
招聘、人员管理、培训
2
Vdhelm
荷兰
2024-02-22
供应链、物流、运输行业
3
Pfleet
美国
2024-02-23
汽车、支付管理、解决方案
4
Elsapspa
意大利
2024-02-24
电子、制造、物流
5
Chocotopia
捷克共和国
2024-02-27
娱乐、旅游、服务

表1-2 受害公司信息概览

03

加密文件解密

【突发】五大企业遭遇勒索攻击,全新勒索家族DoNex正在肆虐
攻击者试图在勒索信中安慰受害者,表明自己没有政治动机,只追求经济利益。并且承诺只要用户支付赎金他们就会提供解密程序然后删除受害者数据。但是根据以往经验我们并不推荐受害者这么做,因为你无法保证攻击者是否能够履行他们的任何承诺。
同时我们在外网的一些视频媒体网站上也发现,一些用户正在通过视频宣传自己拥有解密DoNex勒索家族的秘钥或程序。
【突发】五大企业遭遇勒索攻击,全新勒索家族DoNex正在肆虐
这些视频都有一个共性,那就是在简介或评论中引导目标用户通过TG等联系方式,获取解密秘钥和程序。我们暂时无法确定这些用户是否与DoNex勒索家族存在关联,或者是想通过这种方式浑水摸鱼进行诈骗。所以我们希望不论是哪种情况,请用户一定谨慎对待这些信息,谨防二次损失。
【突发】五大企业遭遇勒索攻击,全新勒索家族DoNex正在肆虐

04

IOC

【突发】五大企业遭遇勒索攻击,全新勒索家族DoNex正在肆虐
8a23347b733420472a1ec0a1eeada597
[email protected]
http://g3h3klsev3eiofxhykmtenmdpi67wzmaixredk5pjuttbx7okcfkftqd[.]onion
2793D009872AF80ED9B1A461F7B9BD6209744047DC1707A42CB622053716AD4BA6241936
更多详细信息,可关注公众号或联系我们获取。

05

防护建议

【突发】五大企业遭遇勒索攻击,全新勒索家族DoNex正在肆虐
目前,矢安科技旗下觅影(AS EASM)外部攻击面管理系统与攻鉴(AS BAS)突破与攻击模拟系统已全面支持对本次攻击活动的发现与检测能力,客户可通过后台服务对相关资产进行薄弱点检测与风险排查,矢安科技凭借相关能力将推出勒索病毒防护能力评估解决方案,敬请期待!
【突发】五大企业遭遇勒索攻击,全新勒索家族DoNex正在肆虐
【突发】五大企业遭遇勒索攻击,全新勒索家族DoNex正在肆虐

攻鉴(AS BAS)突破与攻击模拟系统

依托于攻防研究团队多年的实战经验和技战法沉淀,以自动化、无害化的方式持续开展攻击模拟,验证企业安全有效性。产品覆盖完整杀伤链的安全验证场景,包括钓鱼邮件、邮件网关、威胁情报、WAF、威胁防护、终端安全、数据保护、容器安全等。产品形态为SaaS和私有化部署,为用户提供灵活的产品订阅服务,用户可以按需、按服务周期订阅安全场景。攻鉴不引入靶场环境、不直接使用恶意样本进行测试,不会改变执行环境,以高度自动化、高安全性、无害化的方式持续进行攻击模拟和安全验证。
【突发】五大企业遭遇勒索攻击,全新勒索家族DoNex正在肆虐

觅影(AS EASM)外部攻击面管理系统

帮助企业跟踪监测互联网、社交媒体、暗网和深网各种环境,评估和分析数字资产的属性,发现和清点企业未知的外部数字资产、系统、敏感数据等可被攻击者利用的潜在目标、漏洞和弱点;对相关风险和漏洞进行优先级排序和预警,并提供缓解措施和自动化编排响应,帮助企业快速降低风险。觅影无需提供目标网络信息,通过一系列内置的数据探针,对全球公开网络和非公开网络各类数据源进行持续检测,轻松发现企业对外暴露面及其脆弱性。企业可以持续获得攻击者视角下暴露面及其风险,先于攻击者消除风险。
搜索下方链接或点击底部阅读原文即可了解更多产品信息呦~
https://www.asants.com/request.html

往期推荐

【权威认可】矢安科技入选安全牛《攻击面管理技术应用指南》报告攻击面管理领域十大代表性厂商

【喜报】矢安科技获评国家信息安全漏洞库(CNNVD)技术支撑单位

【喜报】矢安科技荣获“磐石行动”2023“优秀红方队伍”、“卓越协作奖”和“磐石行动优秀个人”三大奖项

【喜报】矢安科技入选上海市经济和信息化委员会《2023年度上海市网络安全产业创新攻关成果目录》

【权威认可】矢安科技入选 Gartner《2023中国安全技术成熟度曲线》报告

【突发】五大企业遭遇勒索攻击,全新勒索家族DoNex正在肆虐

原文始发于微信公众号(矢安科技):【突发】五大企业遭遇勒索攻击,全新勒索家族“DoNex”正在肆虐

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年3月9日13:25:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【突发】五大企业遭遇勒索攻击,全新勒索家族DoNex正在肆虐https://cn-sec.com/archives/2562036.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息