【文章转载】揭示LUNAR SPIDER和ALPHV的暗网连接:新兴威胁情报如何提前识破协同攻击

admin 2024年11月6日17:33:32评论11 views字数 14166阅读47分13秒阅读模式

点击蓝字 关注我们

执行摘要

2024年10月,EclecticIQ的分析人员观察到一个恶意广告活动,该活动使用一种名为Latrodectus【1】的混淆JavaScript下载器来传递与Brute Ratel C4(BRc4)【2】相关的恶意载荷。分析人员高度确信此活动极有可能与LUNAR SPIDER【3】有关。LUNAR SPIDER是一个讲俄语的威胁组织,出于财务动机,自2009年起便活跃至今。该组织负责开发了多个高知名度的恶意软件家族,包括IcedID【4】和Latrodectus。IcedID恶意软件通常通过恶意软件即服务(MaaS)提供,允许包括ALPHA SPIDER/BlackCat勒索软件组织【5】在内的附属团体利用这些服务进行初始入侵。

【文章转载】揭示LUNAR SPIDER和ALPHV的暗网连接:新兴威胁情报如何提前识破协同攻击
图 1 - LUNAR SPIDER 恶意软件广告活动的图形视图

2024年5月30日,FBI与国际合作伙伴执行了“终极行动”(Operation Endgame)【6】,成功瓦解了至少四种恶意软件变体的指挥与控制(C2)基础设施,其中包括IcedID(BokBot)、Smokeloader【7】、Pikabot【8】和Bumblebee【9】。EclecticIQ的分析人员高度确信,尽管执法部门的行动对其基础设施造成了重大打击,LUNAR SPIDER仍然恢复了活动。在最新的攻击活动中,该组织利用了Brute Ratel C4,展现出在执法压力加剧的情况下,继续其行动的强大适应能力和顽强决心。

Conti 泄密揭露了LUNAR SPIDER和WIZARD SPIDER成员之间的联系

EclecticIQ的分析人员通过2022年发布的Conti勒索软件组织通信泄露内容,高度自信地评估,LUNAR SPIDER在网络犯罪生态系统中已建立起重要联系【10】。该组织很可能向WIZARD SPIDER【11】等勒索软件运营者提供初始访问途径。WIZARD SPIDER是一个总部位于俄罗斯的组织,以TrickBot【12】恶意软件和Conti勒索软件即服务(RaaS)【13】闻名。这种合作关系帮助LUNAR SPIDER与WIZARD SPIDER共享了IcedID等工具及基础设施,从而有效规避EDR/AV检测,推动勒索软件攻击活动。

LUNAR SPIDER此前由Vyacheslav Igorevich Penchukov【14】(又名Tank、Zeus、Zevs、Father和TopBro)领导。Penchukov在2022年9月于瑞士被捕前,是该组织的核心人物。图2展示了俄罗斯语威胁演员angelo和manuel的对话泄露记录,据信他们是Conti勒索软件即服务(RaaS)内部的开发人员。翻译的对话揭示了LUNAR SPIDER领导人“Zeus”(即Penchukov)是他们的合作伙伴。

尽管Penchukov已被引渡至美国并在2024年被判处18年监禁,LUNAR SPIDER依然保持运营,并且在应对领导层变动及执法干预上展现出极强的适应力。

【文章转载】揭示LUNAR SPIDER和ALPHV的暗网连接:新兴威胁情报如何提前识破协同攻击
图 2 - Conti 勒索软件对话

分析人员高度确信,LUNAR SPIDER与其他勒索软件组织保持着紧密联系,包括Nemty(又称TRAVELING SPIDER)【15】和TA2101(又称TWISTED SPIDER)【16】,这些组织利用LUNAR SPIDER的IcedID恶意软件来获得对受害环境的初始访问权限。这些合作关系进一步凸显了LUNAR SPIDER在网络犯罪生态系统中作为初始访问代理的重要地位。

【文章转载】揭示LUNAR SPIDER和ALPHV的暗网连接:新兴威胁情报如何提前识破协同攻击
图 3 – LUNAR SPIDER 的关系图

LUNAR SPIDER从 IcedID 恶意软件切换到 Brute Ratel C4 恶意软件

EclecticIQ 分析人员高度确信,LUNAR SPIDER 改变了战术,逐渐放弃了此前使用的 IcedID(BokBot),转而使用 Latrodectus 和 Brute Ratel C4 恶意软件。

分析揭示,LUNAR SPIDER 背后运作着超过 200 个与 IcedID 和 Latrodectus 恶意软件家族相关的恶意基础设施(见图4)。尽管这些恶意软件行动先前被认为是独立的,但其基础设施存在显著重叠。例如,两者均使用具有几乎相同颁发者信息的 SSL 证书,如“AU”、“Some-State”和“Internet Widgits Pty Ltd.”等。此外,LUNAR SPIDER 一贯在这两个行动中使用相同的服务提供商,如 SHOCK-1(ASN 395092)。这种对相同提供商和相似基础设施的持续使用,表明 LUNAR SPIDER 正在不同的恶意软件家族之间高效地协调其恶意活动。

【文章转载】揭示LUNAR SPIDER和ALPHV的暗网连接:新兴威胁情报如何提前识破协同攻击
图 4 – 基础设施之间的重叠

据观察,与 LUNAR SPIDER 相关的下载器 Latrodectus 针对金融服务行业部署了 Brute Ratel,这标志着其恶意软件部署策略的战略性转变。这一变化突显了该组织在网络行动中持续进化和适应的能力,表明其正采用更隐蔽的攻击方式。

跟踪 Latrodectus 基础设施

分析师利用 EclecticIQ 威胁情报平台 (TIP) 和情报中心,提取了与 Latrodectus 相关的恶意基础设施。根据开源情报,分析师观察到超过 200 个 Latrodectus 服务器,极有可能由 LUNAR SPIDER 威胁组织的成员管理。

【文章转载】揭示LUNAR SPIDER和ALPHV的暗网连接:新兴威胁情报如何提前识破协同攻击
图 5 – 在情报中心跟踪 Latrodectus 基础设施

图6突出了与此前检测到的 Latrodectus 基础设施相关的主要自治系统编号 (ASN)。ASN 对于识别可能为网络威胁活动提供支持的关键服务提供商至关重要。位居榜首的是 BlueVPS OU (AS 62005),关联33个实例,其次是 OVH SAS (AS 16276) 和 The Infrastructure Group B.V. (AS 60404)。追踪这些 ASN 可为分析恶意基础设施提供宝贵见解,因为攻击者通常依赖特定的托管服务来执行攻击或托管指挥与控制 (C2) 服务器。

【文章转载】揭示LUNAR SPIDER和ALPHV的暗网连接:新兴威胁情报如何提前识破协同攻击
图 6 - Latrodectus恶意软件使用的 Top 10 ASN 服务所有者

IcedID 恶意软件启用 ALPHV 勒索软件攻击,揭露与 LUNAR SPIDER 共享的基础设施 

在2023年10月的一次行动中,与 ALPHV(也称为 BlackCat)相关的威胁行为者利用 IcedID 恶意软件作为初始入侵手段发起了一次勒索软件攻击【17】。该操作始于一场垃圾邮件活动,向受害者发送包含恶意 ZIP 文件的邮件,内含一个 Visual Basic Script (VBS)。一旦执行,IcedID 加载程序便会自我安装。随后,攻击者使用 Impacket 工具的 wmiexec【18】和远程桌面协议 (RDP) 进行横向移动,并在系统中部署 ScreenConnect。行动升级,攻击者还部署了 Cobalt Strike 信标以执行指挥与控制 (C2) 操作,并使用 CSharp Streamer RAT【19】通过 Rclone【20】等工具窃取凭证和敏感数据。初始入侵的八天后,ALPHV 勒索软件在所有加入域的 Windows 系统中被部署,成功加密数据并留下勒索通知。

【文章转载】揭示LUNAR SPIDER和ALPHV的暗网连接:新兴威胁情报如何提前识破协同攻击
图 7 – LUNAR SPIDER与ALPHV/黑猫勒索软件之间可能的设施共享

EclecticIQ 分析人员发现有力证据表明,LUNAR SPIDER 与 ALPHV/BlackCat 勒索软件关联团体之间很可能存在合作关系。2024 年 9 月,LUNAR SPIDER 开发并管理的 Latrodectus 恶意软件的指挥与控制 (C2) 服务器域名 peronikilinfer[.]com,托管在 IP 地址 173[.]255[.]204[.]62 上。而在 2023 年 10 月,ALPHV/BlackCat 使用的另一个域名 jkbarmossen[.]com 也托管在相同 IP 地址上,并充当 IcedID 恶意软件的 C2 服务器。IcedID 也是由 LUNAR SPIDER 开发和管理的恶意软件家族。这一基础设施的重复使用和恶意软件的相互支持表明,IcedID 和 Latrodectus 在 LUNAR SPIDER 的运营中起着核心作用,共享的基础设施则表明了 LUNAR SPIDER 的恶意软件正在支持 ALPHV/BlackCat 的勒索软件活动,进一步凸显了两者的协作关系。

通过被动 DNS 记录显示的基础设施和 C2 资产重用,进一步支持了 LUNAR SPIDER 与 ALPHV/BlackCat 之间协调作战的理论。LUNAR SPIDER 可能通过 IcedID 提供初始访问权限,随后由 ALPHV/BlackCat 操作员部署勒索软件并窃取敏感数据。这些联系由被动 DNS 记录的证据支撑,突显了两组团体在操作上共用战术、技术和基础设施的协同关系,加强了对两者合作关系的评估。

Latrodectus 恶意软件通过 SEO 投毒攻击金融服务,以提供暴力 Ratel C4 

EclecticIQ 分析人员观察到,在针对金融服务行业的恶意广告活动中,Latrodectus 下载器的一种变体被用作SEO投毒攻击的载体,以下载并执行 Brute Ratel C4 恶意软件。在 Brute Ratel C4 执行后,该恶意软件通过很可能由 LUNAR SPIDER 成员控制的指挥与控制(C2)服务器进行通信,赋予攻击者对受害设备的远程访问权限。

图 8 展示了该恶意广告活动的攻击流程,该活动利用 SEO 投毒技术投放其载荷。SEO 投毒是通过操控搜索引擎排名,将恶意链接置于搜索结果的显著位置,诱使用户点击。在此次攻击中,受害者在 Bing 浏览器上搜索与税务相关的内容时被重定向,下载了一个名为 Document-16-32-50.js 的恶意、混淆后的 JavaScript 文件。

【文章转载】揭示LUNAR SPIDER和ALPHV的暗网连接:新兴威胁情报如何提前识破协同攻击
图 8 – Latrodectus恶意软件的执行流程

执行后,该 JavaScript 文件从远程服务器检索到一个 Windows Installer (MSI) 文件,从而安装了 Brute Ratel 恶意软件。该 MSI 文件从 45[.]14[.]244[.]124/dsa.msi 下载,并通过 rundll32.exe 进程运行,将恶意 DLL(vierm_soft_x64.dll)伪装成合法的 NVIDIA 文件。

持久性机制和指挥与控制 (C2):

为了建立持久性,恶意软件在注册表路径下创建了一个注册表项:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

这样可以确保即使系统重启,恶意软件也会保持活跃。安装完成后,Brute Ratel 会与攻击者控制的多个指挥与控制 (C2) 服务器建立连接,包括 bazarunet[.]comgreshunka[.]comtiguanin[.]com。这些 C2 服务器使得受感染设备与攻击者之间保持通信,允许攻击者下达指令并控制受感染系统。

对JavaScript文件进行去混淆处理:

恶意JavaScript文件 Document-16-32-50.js 是 Latrodectus 恶意软件家族的一部分,代码被混淆以掩盖其实际功能。分析人员对该脚本进行了去混淆,揭示了其具体功能(如图 7 所示)。该脚本旨在从服务器下载 MSI 负载,从而引导至感染的最终阶段。这一去混淆的过程展示了该恶意文件如何通过远程服务器获取感染文件,以进一步在受害者系统中传播感染。

【文章转载】揭示LUNAR SPIDER和ALPHV的暗网连接:新兴威胁情报如何提前识破协同攻击
图 9 – 解密后的 JavaScript 文件

下载完成后,MSI 文件会将 Brute Ratel C4 以 DLL 格式保存至以下位置:C:Users<用户名>AppDataRoamingvierm_soft_x64.dll。随后,恶意软件通过 rundll32.exe 执行,与攻击者控制的 C2 服务器建立通信,以保持对受害者设备的控制。这些 C2 服务器在攻击中起着核心作用,使得攻击者能够继续实施恶意活动或进行数据窃取。

【文章转载】揭示LUNAR SPIDER和ALPHV的暗网连接:新兴威胁情报如何提前识破协同攻击
图 10 – Brute Ratel C4 DLL 在 Sysmon 事件日志中的执行情况

分析师利用 EclecticIQ 情报中心中的 MITRE ATT&CK 分析工具对 Lunar Spider 的战术、技术和流程(TTPs)进行了映射。这种映射对于防御者至关重要,有助于识别该威胁组织的操作模式。通过了解这些技术,安全团队能够制定更有效的检测和响应策略,从而提升阻止类似攻击的能力。

【文章转载】揭示LUNAR SPIDER和ALPHV的暗网连接:新兴威胁情报如何提前识破协同攻击
图 11 - 月球蜘蛛激活了映射到EclecticIQ MITRE ATT&CK 分析工具的自动化功能

在图11中,情报中心通过 EclecticIQ MITRE ATT&CK 分析工具对 Lunar Spider 的 TTPs 进行了自动映射,展示了情报驱动防御的强大功能。此方法为防御者提供了清晰的对手行为洞察,支持其在不断变化的威胁环境中开展主动的威胁狩猎和缓解工作。

EclecticIQ 智能中心的强大力量

  • 揭示隐藏关联:通过 EclecticIQ 威胁图视图检测 LUNAR SPIDER 和 ALPHV/BlackCat 等威胁行为者之间先前未知的基础设施和恶意软件联系,使安全团队能够在协同网络威胁升级之前主动加以破坏。
  • 快速情报收集:从各种 OSINT 源汇聚有关 LUNAR SPIDER 工具(如 IcedID 和 Latrodectus)的情报和 IOC,深入了解其 TTP 和基础设施。这加快了响应速度,增强了威胁缓解策略,确保组织始终领先攻击者一步。
  • 战略 TTP 映射:利用 EclecticIQ 的 MITRE ATT&CK 分析工具,将 LUNAR SPIDER 的活动直接映射到 MITRE 框架上。这提供了其攻击模式的清晰理解,使组织能够针对威胁行为者使用的特定战术开发更有效的防御。
  • 自动化数据丰富:利用自动丰富功能,从已知的 C2 服务器快速扩展,识别新的攻击者控制基础设施。这减少了暴露时间,提升了威胁检测的准确性,并强化了整体安全态势。

YARA 规则

rule CRIME_LOADER_Latrodectus_JS_LunarSpider_Oct2024_01 

    meta: 
        author = "Arda Buyukkaya, EclecticIQ" 
        description = "Detects JavaScript files associated with the Latrodectus loader, also known as Lotus Loader, used to download MSI payloads. This activity is linked to the Lunar Spider crime group. The rule identifies specific patterns within JavaScript code indicative of malicious loader behavior." 
        malware_family = "Latrodectus (Lotus Loader)" 
        last_modified = "2024-10-15" 
        tags = "loader, lotus, JavaScript, MSI, LunarSpider, Oct2024" 

    strings: 
        $x_installer_reference = "WindowsInstaller.Installer" 
        $x_encoded_signature = "/ EGqk1paQjoH4fKsvtaNXM9JYe5QObQ+lkSYqs4NPcrGKrn// SIG // e2SS0PC0VV+WCxHl" 
         
        // Grouped strings for drive checking and script execution flow 
        $s_drive_check = "i < drives.length" 
        $s_script_path = "filePath = WScript.ScriptFullName," 
        $s_script_buffer = "scriptBuffer = "" 

        // Fallback patterns for JavaScript MSI execution 
        $a_msiexec_keyword = {2F 2F 2F 2F 20 20 20 20 76 61 72 20 69 6E 73 74 61 6C 6C 43 6F 6D 6D 61 6E 64 20 3D 20 27 6D 73 69 65 78 65 63 2E 65 78 65} 
        $a_comment_block = {2F 2F 2F 2F 20 20 20 20} 

    condition: 
        // The file must be larger than 256KB, and the following must hold: 
        // 1. Either all primary detection strings are present. 
        // 2. If no primary strings are found, fallback strings for JavaScript MSI must be present. 
        filesize > 256000 and ( 
            (all of ($x_installer_reference$x_encoded_signature) or all of ($s_drive_check$s_script_path$s_script_buffer)) or 
            ($a_msiexec_keyword and $a_comment_block
        ) 

rule MAL_LOADER_LunarSpider_Lotus_Aug2024_01 

    meta: 
        author = "Arda Buyukkaya - EclecticIQ" 
        description = "Detects Lotus loader linked to Lunar Spider threat actor, observed in August 2024." 
        last_modified = "2024-08-16" 
        threat_actor = "Lunar Spider" 
        malware_family = "Lotus Loader" 
        tags = "loader, lotus, LunarSpider, August2024" 

    strings: 
        $x_debug_function = {e8 [4] 0f b6 40 02 48 83 c4 28} 
        $x_process_environment_block = {65 48 8b 04 25 60 00 00 00 c3} 
        $x_sleep_interval = {b9 58 02 00 00 f7 f1 8b c2 05 dc 05 00 00 69 c0 e8 03 00 00} 

    condition: 

        // Ensures the PE import hash matches and all specific detection patterns are present 
        pe.imphash() == "db7aeb75528663639689f852fd366243"  
        and all of ($x_debug_function$x_process_environment_block$x_sleep_interval

威胁指标(IOCs)

描述 指标
Malvertising URL https[://]qasertol[.]club/forms-pubs/about-form-w-2/?msclkid=58393294f21c1006efe854eff1b652d5 https[://]grupotefex[.]com/forms-pubs/about-form-w-4/?msclkid=275de1ee6e9c11cb920c879bf6a21339
Latrodectus JS file SH256 937d07239cbfee2d34b7f1fae762ac72b52fb2b710e87e02fa758f452aa62913 6dabcf67c89c50116c4e8ae0fafb003139c21b3af84e23b57e16a975b7c2341f fb242f64edbf8ae36a4cf5a80ba8f21956409b448eb0380949bb9152373db981
MSI Downloading URL http[://]45[.]14[.]244[.]124/dsa[.]msi https[://]188[.]119[.]112[.]115/DLPAgent[.]msi http[://]188[.]119[.]113[.]152/CITROEN[.]msi http[://]193[.]32[.]177[.]192/vpn[.]msi http[://]188[.]119[.]112[.]7/das[.]msi http[://]95[.]164[.]17[.]212/BEST[.]msi
MSI files SHA256 1b9e17bfbd292075956cc2006983f91e17aed94ebbb0fb370bf83d23b14289fa  ea1792f689bfe5ad3597c7f877b66f9fcf80d732e5233293d52d374d50cab991  29549b75a198ad3aee4f8b9ea328bc9a73eb0e0d07e36775438bbe7268d453f9 c3f8ebc9cfb7ebe1ebbe3a4210753b271fecf73392fef98519b823a3e7c056c7
Latrodectus Malware C2 peronikilinfer[.]com  opewolumeras[.]com  eniloramesta[.]com  restoreviner[.]com  rilomenifis[.]com  isomicrotich[.]com
Brute Ratel C4 SHA256 28f5e949ecad3606c430cea5a34d0f3e7218f239bcfa758a834dceb649e78abc  29549b75a198ad3aee4f8b9ea328bc9a73eb0e0d07e36775438bbe7268d453f9  c3f8ebc9cfb7ebe1ebbe3a4210753b271fecf73392fef98519b823a3e7c056c7  1b9e17bfbd292075956cc2006983f91e17aed94ebbb0fb370bf83d23b14289fa
Brute Ratel C4 C2 domains tiguanin[.]com  greshunka[.]com  bazarunet[.]com  obobobo[.]com  sosachwaffen[.]com

参考文献

[1]       “Latrodectus: This Spider Bytes Like Ice | Proofpoint US,” Proofpoint. Accessed: Oct. 15, 2024. [Online]. Available: https://www.proofpoint.com/us/blog/threat-insight/latrodectus-spider-bytes-ice

[2]       “Brute Ratel C4 (Malware Family).” Accessed: Oct. 15, 2024. [Online]. Available: https://malpedia.caad.fkie.fraunhofer.de/details/win.brute_ratel_c4

[3]       “LUNAR SPIDER (Threat Actor).” Accessed: Oct. 15, 2024. [Online]. Available: https://malpedia.caad.fkie.fraunhofer.de/actor/lunar_spider

[4]       “IcedID (Malware Family).” Accessed: Jan. 29, 2024. [Online]. Available: https://malpedia.caad.fkie.fraunhofer.de/details/win.icedid

[5]       “Alpha Spider (Threat Actor).” Accessed: Oct. 15, 2024. [Online]. Available: https://malpedia.caad.fkie.fraunhofer.de/actor/alpha_spider

[6]       “Operation Endgame.” Accessed: Oct. 15, 2024. [Online]. Available: https://www.operation-endgame.com/

[7]       “SmokeLoader (Malware Family).” Accessed: Oct. 15, 2024. [Online]. Available: https://malpedia.caad.fkie.fraunhofer.de/details/win.smokeloader

[8]       “Pikabot (Malware Family).” Accessed: Oct. 15, 2024. [Online]. Available: https://malpedia.caad.fkie.fraunhofer.de/details/win.pikabot

[9]       “BumbleBee (Malware Family).” Accessed: Oct. 15, 2024. [Online]. Available: https://malpedia.caad.fkie.fraunhofer.de/details/win.bumblebee

[10]    “Conti Ransomware Group Internal Chats Leaked | Rapid7 Blog,” Rapid7. Accessed: Oct. 15, 2024. [Online]. Available: https://www.rapid7.com/blog/post/2022/03/01/conti-ransomware-group-internal-chats-leaked-over-russia-ukraine-conflict/

[11]    “WIZARD SPIDER (Threat Actor).” Accessed: Oct. 15, 2024. [Online]. Available: https://malpedia.caad.fkie.fraunhofer.de/actor/wizard_spider

[12]    “TrickBot Malware | CISA.” Accessed: Oct. 15, 2024. [Online]. Available: https://www.cisa.gov/news-events/cybersecurity-advisories/aa21-076a

[13]    “Conti Ransomware | CISA.” Accessed: Oct. 15, 2024. [Online]. Available: https://www.cisa.gov/news-events/alerts/2021/09/22/conti-ransomware

[14] “Office of Public Affairs | Foreign National Pleads Guilty to Role in Cybercrime Schemes Involving Tens of Millions of Dollars in Losses | United States Department of Justice.” Accessed: Oct. 15, 2024. [Online]. Available: https://www.justice.gov/opa/pr/foreign-national-pleads-guilty-role-cybercrime-schemes-involving-tens-millions-dollars

[15] “Nemty (Malware Family).” Accessed: Oct. 15, 2024. [Online]. Available: https://malpedia.caad.fkie.fraunhofer.de/details/win.nemty

[16] “TA2101 Plays Government Imposter to Distribute Malware | Proofpoint US,” Proofpoint. Accessed: Oct. 15, 2024. [Online]. Available: https://www.proofpoint.com/us/threat-insight/post/ta2101-plays-government-imposter-distribute-malware-german-italian-and-us

[17] “IcedID Brings ScreenConnect and CSharp Streamer to ALPHV Ransomware Deployment,” The DFIR Report. Accessed: Oct. 15, 2024. [Online]. Available: https://thedfirreport.com/2024/06/10/icedid-brings-screenconnect-and-csharp-streamer-to-alphv-ransomware-deployment/

[18] “Impacket - Red Canary Threat Detection Report,” Red Canary. Accessed: Oct. 15, 2024. [Online]. Available: https://redcanary.com/threat-detection-report/threats/impacket/

[19] “csharp-streamer RAT (Malware Family).” Accessed: Oct. 15, 2024. [Online]. Available: https://malpedia.caad.fkie.fraunhofer.de/details/win.csharpstreamer

[20] M. T. Intelligence, “The many lives of BlackCat ransomware,” Microsoft Security Blog. Accessed: Oct. 15, 2024. [Online]. Available: https://www.microsoft.com/en-us/security/blog/2022/06/13/the-many-lives-of-blackcat-ransomware/

文章来源

https://blog.eclecticiq.com/inside-intelligence-center-lunar-spider-enabling-ransomware-attacks-on-financial-sector-with-brute-ratel-c4-and-latrodectus

以下是solar安全团队近期处理过的常见勒索病毒后缀:后缀.lol勒索病毒,.360勒索病毒,.halo勒索病毒,.phobos勒索病毒,.Lockfiles勒索病毒,.stesoj勒索病毒,.src勒索病毒,.svh勒索病毒,.Elbie勒索病毒,.Wormhole勒索病毒.live勒索病毒, .rmallox勒索病毒, .mallox 勒索病毒,.hmallox勒索病毒,.jopanaxye勒索病毒, .2700勒索病毒, .elbie勒索病毒, .mkp勒索病毒, .dura勒索病毒, .halo勒索病毒, .DevicData勒索病毒, .faust勒索病毒, ..locky勒索病毒, .cryptolocker勒索病毒, .cerber勒索病毒, .zepto勒索病毒, .wannacry勒索病毒, .cryptowall勒索病毒, .teslacrypt勒索病毒, .gandcrab勒索病毒, .dharma勒索病毒, .phobos勒索病毒, .lockergoga勒索病毒, .coot勒索病毒, .lockbit勒索病毒, .nemty勒索病毒, .contipa勒索病毒, .djvu勒索病毒, .marlboro勒索病毒, .stop勒索病毒, .etols勒索病毒, .makop勒索病毒, .mado勒索病毒, .skymap勒索病毒, .aleta勒索病毒, .btix勒索病毒, .varasto勒索病毒, .qewe勒索病毒, .mylob勒索病毒, .coharos勒索病毒, .kodc勒索病毒, .tro勒索病毒, .mbed勒索病毒, .wannaren勒索病毒, .babyk勒索病毒, .lockfiles勒索病毒, .locked勒索病毒, .DevicData-P-XXXXXXXX勒索病毒, .lockbit3.0勒索病毒,  .DevicData勒索病毒.blackbit勒索病毒等。

勒索攻击作为成熟的攻击手段,很多勒索家族已经形成了一套完整的商业体系,并且分支了很多团伙组织,导致勒索病毒迭代了多个版本。而每个家族擅用的攻击手法皆有不同,TellYouThePass勒索软件家族常常利用系统漏洞进行攻击;Phobos勒索软件家族通过RDP暴力破解进行勒索;Mallox勒索软件家族利用数据库及暴力破解进行加密,攻击手法极多防不胜防。

而最好的预防方法就是针对自身业务进行定期的基线加固、补丁更新及数据备份,在其基础上加强公司安全人员意识。

如果您想了解有关勒索病毒的最新发展情况,或者需要获取相关帮助,请关注“solar专业应急响应团队”。

原文始发于微信公众号(solar专业应急响应团队):【文章转载】揭示LUNAR SPIDER和ALPHV的暗网连接:新兴威胁情报如何提前识破协同攻击

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月6日17:33:32
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【文章转载】揭示LUNAR SPIDER和ALPHV的暗网连接:新兴威胁情报如何提前识破协同攻击https://cn-sec.com/archives/3363971.html

发表评论

匿名网友 填写信息