WAP手机版 RSS订阅 加入收藏  设为首页
黑客新闻
当前位置:首页 > 黑客新闻

瞄准大公司“黑”,新型勒索软件Ryuk已非法获利400万美元

时间:2019/7/10 10:39:56   作者:安琪   来源:www.hack361.com   阅读:0   评论:0
内容摘要:自8月份以来,一种新型勒索软件已非法获取了近400万美元,该病毒的攻击对象极具针对性,在已经感染病毒的网络中,它只挑选资金雄厚的公司机构作为目标安装恶意加密软件。而以往的病毒软件通常会感染所有可能的目标,不加以区分。该信息来自周四发布的两份分析报告,一份由网络安全公司CrowdStrike发布,另一份由竞争对手Fire...

自8月份以来,一种新型勒索软件已非法获取了近400万美元,该病毒的攻击对象极具针对性,在已经感染病毒的网络中,它只挑选资金雄厚的公司机构作为目标安装恶意加密软件。而以往的病毒软件通常会感染所有可能的目标,不加以区分。该信息来自周四发布的两份分析报告,一份由网络安全公司CrowdStrike发布,另一份由竞争对手FireEye发布。

两份报告均称,大型企业在遭到其它恶意软件(多数情况下是Trickbot木马病毒)攻击后的数天、数周甚至一年后,才会感染Ryuk病毒。但是,感染木马病毒的小公司则不会受到Ryuk的后续攻击。CrowdStrike称此为“大型猎物狩猎”(只针对资金雄厚的大公司机构),而且,从8月份以来,Ryuk的幕后团队在52笔交易中获益价值370万美元的比特币。

除了精确锁定目标令其支付巨额赎金,Ryuk的一贯手法还有另一个关键好处:“延迟时间”——即最初感染病毒和安装勒索软件之间的时间,这段时间让攻击者有机会在受感染的网络内进行有价值的侦察,攻击者(CrowdStrike称其为Grim Spider)在识别出网络中最关键的系统并获得通行密码后,才会释放出勒索软件,从而将造成的损害最大化。

CrowdStrike研究员Alexander Hanel写道:

TrickBot木马的部分模块(例如pwgrab)可以帮助恢复入侵网络所需的凭证文件,特别是SOCKS模块可以为PowerShell Empire建立通道以执行侦察和横向移动。CrowdStrike观察到黑客在受害者网络上执行以下事件,最终实现嵌入Ryuk二进制文件:

执行PowerShell模糊脚本并连接到远程IP地址;在受感染的主机上下载并执行反向shell命令;PowerShell防日志脚本在主机上执行;使用标准Windows命令行工具以及外部上载工具进行网络侦察;使用远程桌面协议(RDP)启用整个网络的横向移动;创建服务用户账户;下载PowerShell Empire并作为服务安装;横向移动,直到获得对主控制器的访问特权;PSEXEC(远程控制程序)用于将Ryuk二进制文件推送到单个主机;执行批处理脚本以终止进程或服务并删除备份,然后执行Ryuk二进制文件。

还记得Samsam病毒吗?

虽然不常见,但这种侦察技术也并非Ryuk独有。SamSam(另一款勒索软件)也采用了相似的路径,通过感染亚特兰大市的计算机网络、巴尔的摩911应急系统、波音公司等网络导致了巨额损失。由此可见,该技术无疑是有效的。根据联邦检察官的说法,SamSam幕后操作者收取超过600万美元的赎金,并造成逾3千万美元的损失。

FireEye和CrowdStrike的报告提及Ryuk来自于北朝鲜黑客,但两家都淡化了报告中的这一点。这个判断很大程度上是因为Ryuk和Hermes(据推测是来自于朝鲜Lazarus集团的勒索病毒)两者编码相似。但Ryuk背后的攻击者也可能来自俄罗斯,比如有证据显示,一个俄罗斯IP地址用于将Ryuk使用的文件上传至扫描服务,且恶意软件在受感染网络上留下用俄语编写的痕迹。

周四的报告显示这种攻击方法可能会变得更加普遍。

FireEye的研究人员表示:2018年,FireEye观察到越来越多的案例,攻击者以其它途径进入受害者网络后,即部署了勒索软件,允许他们横穿全网来识别关键系统,并造成最大的破坏。早在2015年底,SamSam就率先进行了这样的操作,该操作越发受到黑客的青睐,Ryuk就是一个例子。FireEye Intelligence预计,既然黑客从受害者那里尝到了不少甜头,2019年他们还会继续用这种手法危害用户。


标签:勒索软件 勒索软件Ryuk 
相关评论

本类更新

本类推荐

本类排行

本站资源来自互联网收集 仅供用于学习和交流 请遵循相关法律法规 本站一切资源不代表本站立场

Copyright 2018 黑客361 www.hack361.com All Rights Reserved 

站长QQ1437232096

技术交流群99802923