北京怡華科技有限公司專業(yè)提供IT外包、弱電布線、系統(tǒng)集成、 人防行業(yè)軟件、物聯(lián)網(wǎng)管理系統(tǒng)!
熱線電話: 010-67399093 簽約客戶報修平臺
IT外包-勒索組織
來源:www.nb-chengda.com 發(fā)布時間:2024年10月18日
NoName勒索軟件組織在最近的攻擊中部署RansomHub
一個名為“NoName”的勒索軟件組織已經(jīng)連續(xù)三年針對全球各地的小型和中型企業(yè)進(jìn)行勒索攻擊,并試圖打出自己的名聲。近日,該組織可能正在與RansomHub勒索軟件交易平臺開展合作。
該勒索組織使用了一款名為Spacecolon的惡意軟件家族的自定義工具,并在利用EternalBlue或ZeroLogon等經(jīng)典漏洞侵入網(wǎng)絡(luò)后部署它們。而在最近的攻擊中,NoName則使用了名為ScRansom的勒索軟件,該軟件取代了之前的Scarab加密器。此外,該攻擊者還試圖通過嘗試使用泄露的LockBit 3.0勒索軟件聲稱器來創(chuàng)建類似的數(shù)據(jù)泄露網(wǎng)站以及使用類似的勒索贖金通知來為自己打響名號。
研究人員發(fā)現(xiàn),盡管ScRansom在勒索軟件領(lǐng)域并不像其他威脅那樣復(fù)雜,但它仍在不斷地進(jìn)行著更新迭代。該惡意軟件支持使用不同的速度模式進(jìn)行部分加密,以使攻擊者具有一定的靈活性。此外,其還具有一個名為“ERASE”的模式,可將文件內(nèi)容替換為恒定值使其無法恢復(fù)。ScRansom可以加密所有驅(qū)動器上的文件,包括固定驅(qū)動器、遠(yuǎn)程驅(qū)動器和可移動媒體,并且允許生成者通過可自定義的配置來確定要加密的文件擴(kuò)展名。在啟動加密程序之前,ScRansom還會嘗試殺死Windows主機(jī)上的一系列進(jìn)程和服務(wù),包括Windows Defender、卷影副本、SVCHost、RDPclip、LSASS以及與VMware工具相關(guān)的進(jìn)程。與此同時,ScRansom的加密方案也相當(dāng)復(fù)雜:其采用了AES-CTR-128和RSA-1024的組合,并額外生成了一個AES密鑰來保護(hù)公鑰。
NoName一直使用暴力手段來獲取網(wǎng)絡(luò)訪問權(quán)限,但該攻擊者還利用了幾個更可能存在于SMB環(huán)境中的漏洞:
l CVE-2017-0144
l CVE-2023-27532
l CVE-2021-42278與CVE-2021-42287
l CVE-2022-42475
l CVE-2020-1472
在6月初的一起與NoName相關(guān)的勒索軟件事件中,研究人員發(fā)現(xiàn)攻擊者在不到一周后就在同一臺機(jī)器上執(zhí)行了RansomHub的EDR殺手工具。該工具允許攻擊者通過在目標(biāo)設(shè)備上部署一個合法但存在漏洞的驅(qū)動程序來提升權(quán)限并禁用安全代理。兩天后,也就是6月10日,黑客在被入侵的機(jī)器上執(zhí)行了RansomHub勒索軟件。研究人員指出,提取EDR殺手的方法是典型的CosmicBeetle行為,而不是RansomHub的附屬機(jī)構(gòu)。
由于沒有關(guān)于RansomHub代碼或其構(gòu)建者的公開信息,研究人員認(rèn)為這一情況表明NoName加入了RansomHub的合作伙伴行列。盡管與RanssomHub的關(guān)聯(lián)尚未確定,但研究發(fā)現(xiàn)ScRansom加密器目前正在積極開發(fā)中。結(jié)合ScRansom轉(zhuǎn)向LockBit的事實(shí),這表明NoName顯然仍在進(jìn)行著進(jìn)一步更新。
國內(nèi)勒索軟件態(tài)勢抬頭,9月多起勒索事件
2024年9月 11日,勒索軟件團(tuán)伙Hunters International聲稱對中國工商銀行倫敦分部進(jìn)行了網(wǎng)絡(luò)攻擊,并竊取了超過520萬份文件,總計(jì)6.6TB的數(shù)據(jù)。該團(tuán)伙在暗網(wǎng)上公布了這一信息,并設(shè)定了9月13日為支付贖金的最后期限,威脅若不滿足其要求,將公開所有竊取的數(shù)據(jù)。
此外Killsec勒索軟件也在9月份于其官網(wǎng)上放出了據(jù)稱是竊取自國內(nèi)某政府單位的數(shù)據(jù)支付鏈接,這些數(shù)據(jù)包括但不限于:在中國機(jī)構(gòu)與政府部門內(nèi)的個人、行政、財務(wù)、審核流程等敏感信息。
目前大家常裝的殺毒軟件360中已加入黑客入侵防護(hù)功能。在本月被攻擊的系統(tǒng)版本中,排行前三的依次為Windows Server 2008、Windows 7以及Windows 10。
對2024年9月被攻擊系統(tǒng)所屬地域統(tǒng)計(jì)發(fā)現(xiàn),與之前幾個月采集到的數(shù)據(jù)進(jìn)行對比,地區(qū)排名和占比變化均不大。數(shù)字經(jīng)濟(jì)發(fā)達(dá)地區(qū)仍是攻擊的主要對象。
通過觀察2024年9月弱口令攻擊態(tài)勢發(fā)現(xiàn),RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無較大波動。
一個名為“NoName”的勒索軟件組織已經(jīng)連續(xù)三年針對全球各地的小型和中型企業(yè)進(jìn)行勒索攻擊,并試圖打出自己的名聲。近日,該組織可能正在與RansomHub勒索軟件交易平臺開展合作。
該勒索組織使用了一款名為Spacecolon的惡意軟件家族的自定義工具,并在利用EternalBlue或ZeroLogon等經(jīng)典漏洞侵入網(wǎng)絡(luò)后部署它們。而在最近的攻擊中,NoName則使用了名為ScRansom的勒索軟件,該軟件取代了之前的Scarab加密器。此外,該攻擊者還試圖通過嘗試使用泄露的LockBit 3.0勒索軟件聲稱器來創(chuàng)建類似的數(shù)據(jù)泄露網(wǎng)站以及使用類似的勒索贖金通知來為自己打響名號。
研究人員發(fā)現(xiàn),盡管ScRansom在勒索軟件領(lǐng)域并不像其他威脅那樣復(fù)雜,但它仍在不斷地進(jìn)行著更新迭代。該惡意軟件支持使用不同的速度模式進(jìn)行部分加密,以使攻擊者具有一定的靈活性。此外,其還具有一個名為“ERASE”的模式,可將文件內(nèi)容替換為恒定值使其無法恢復(fù)。ScRansom可以加密所有驅(qū)動器上的文件,包括固定驅(qū)動器、遠(yuǎn)程驅(qū)動器和可移動媒體,并且允許生成者通過可自定義的配置來確定要加密的文件擴(kuò)展名。在啟動加密程序之前,ScRansom還會嘗試殺死Windows主機(jī)上的一系列進(jìn)程和服務(wù),包括Windows Defender、卷影副本、SVCHost、RDPclip、LSASS以及與VMware工具相關(guān)的進(jìn)程。與此同時,ScRansom的加密方案也相當(dāng)復(fù)雜:其采用了AES-CTR-128和RSA-1024的組合,并額外生成了一個AES密鑰來保護(hù)公鑰。
NoName一直使用暴力手段來獲取網(wǎng)絡(luò)訪問權(quán)限,但該攻擊者還利用了幾個更可能存在于SMB環(huán)境中的漏洞:
l CVE-2017-0144
l CVE-2023-27532
l CVE-2021-42278與CVE-2021-42287
l CVE-2022-42475
l CVE-2020-1472
在6月初的一起與NoName相關(guān)的勒索軟件事件中,研究人員發(fā)現(xiàn)攻擊者在不到一周后就在同一臺機(jī)器上執(zhí)行了RansomHub的EDR殺手工具。該工具允許攻擊者通過在目標(biāo)設(shè)備上部署一個合法但存在漏洞的驅(qū)動程序來提升權(quán)限并禁用安全代理。兩天后,也就是6月10日,黑客在被入侵的機(jī)器上執(zhí)行了RansomHub勒索軟件。研究人員指出,提取EDR殺手的方法是典型的CosmicBeetle行為,而不是RansomHub的附屬機(jī)構(gòu)。
由于沒有關(guān)于RansomHub代碼或其構(gòu)建者的公開信息,研究人員認(rèn)為這一情況表明NoName加入了RansomHub的合作伙伴行列。盡管與RanssomHub的關(guān)聯(lián)尚未確定,但研究發(fā)現(xiàn)ScRansom加密器目前正在積極開發(fā)中。結(jié)合ScRansom轉(zhuǎn)向LockBit的事實(shí),這表明NoName顯然仍在進(jìn)行著進(jìn)一步更新。
國內(nèi)勒索軟件態(tài)勢抬頭,9月多起勒索事件
2024年9月 11日,勒索軟件團(tuán)伙Hunters International聲稱對中國工商銀行倫敦分部進(jìn)行了網(wǎng)絡(luò)攻擊,并竊取了超過520萬份文件,總計(jì)6.6TB的數(shù)據(jù)。該團(tuán)伙在暗網(wǎng)上公布了這一信息,并設(shè)定了9月13日為支付贖金的最后期限,威脅若不滿足其要求,將公開所有竊取的數(shù)據(jù)。
此外Killsec勒索軟件也在9月份于其官網(wǎng)上放出了據(jù)稱是竊取自國內(nèi)某政府單位的數(shù)據(jù)支付鏈接,這些數(shù)據(jù)包括但不限于:在中國機(jī)構(gòu)與政府部門內(nèi)的個人、行政、財務(wù)、審核流程等敏感信息。
目前大家常裝的殺毒軟件360中已加入黑客入侵防護(hù)功能。在本月被攻擊的系統(tǒng)版本中,排行前三的依次為Windows Server 2008、Windows 7以及Windows 10。
對2024年9月被攻擊系統(tǒng)所屬地域統(tǒng)計(jì)發(fā)現(xiàn),與之前幾個月采集到的數(shù)據(jù)進(jìn)行對比,地區(qū)排名和占比變化均不大。數(shù)字經(jīng)濟(jì)發(fā)達(dá)地區(qū)仍是攻擊的主要對象。
通過觀察2024年9月弱口令攻擊態(tài)勢發(fā)現(xiàn),RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無較大波動。
上一條:
北京IT外包-勒索組織
下一條:
IT外包-勒索病毒分析
相關(guān)文章
- IT外包-勒索病毒分析2024年10月17日
- IT外包-智慧選擇2024年10月14日
- 北京IT外包-安全防護(hù)措施2024年10月12日
- IT外包-安全防護(hù)措施2024年10月12日
- IT外包-安全傳輸方案2024年10月11日
