首页保安勒索软件:这些复杂的骗局提供了灾难性的有效载荷

勒索软件:这些复杂的骗局提供了灾难性的有效载荷

微软分析了近年来发布的一些非常昂贵的勒索软件的策略和技术,这些勒索软件不是自动的,而是手动控制的。

他警告说,某些勒索软件团体正在利用具有“广泛的系统管理和安全技术知识”的国家资助的黑客,然后提供“灾难性”勒索软件有效载荷。

微软说:“根据我们的研究,这些活动表明它们可以在网络上无缝运行。”

微软研究中包括的勒索软件变体是REvil,Samas或SamSam,Doppelpaymer,Bitpaymer和Ryuk。 REvil勒索软件的平均勒索软件需求为260.000美元,由于选择了勒索软件,勒索软件成为了“大游戏” 目标 以及所需的大笔款项。 美国EMCOR集团本周宣布,Ryuk勒索软件由于停机而影响了4年第四季度的收入。

勒索

微软已经追踪了另一组名为Parinacota的恶意软件18个月(微软使用火山名称来命名网络罪犯)。 他们入侵了安装加密货币矿工并发送垃圾邮件的系统,但是最近他们开始在公司网络上开发Wadhrama勒索软件,以粉碎并抢劫攻击的方式, 赎金.

主要使用Parinacota RDP暴力攻击 要进入,请扫描Internet上的易受攻击的设备,然后尝试使用常用密码列表。

Microsoft已确定团队使用的独特策略。 根据Microsoft威胁防护情报小组的说法,访问网络后,攻击者会测试受感染机器的Internet连接和处理能力。

“他们在使用机器执行相对于其他目标的暴力RDP攻击之前,确定机器是否满足特定要求。 这种策略尚未被类似的勒索软件运营商所使用,使他们能够获得更多 基础设施 被阻止的可能性较小。 该小组在一篇文章中说:“实际上,已经观察到该小组让他们的工具在受损的机器上连续运行了几个月。”

小组在攻击中使用被盗的凭据,还使用管理员权限来阻止安全服务跟踪其操作,然后下载 ZIP文件 充满了黑客工具,例如Mimikatz和Sysinternals ProcDump工具,可通过隐藏凭据来进行下一阶段的攻击。

由于所有这些工作,设法清理Wadhrama注射液的组织通常无法完全删除持久性机制,从而使目标很容易受到再次感染。

团队收费在0,5到2之间 比特币 ($ 4,500至$ 18,268)。 攻击者正在根据机器的关键程度调整需求。

Microsoft帖子的部分重点是解释为什么安全组应启用Windows Defender ATP中可用的功能。

Ryuk是人类勒索软件经常通过Trickbot木马访问网络的另一个示例。

Microsoft指出,Trickbot通常被视为低优先级威胁,因此并未立即隔离。

Trickbot “ Ryuk管理员还受益于在环境中充当本地管理员并使用这些权限来禁用会干扰其操作的安全工具的用户。”

一些公司通过削弱其内部安全性使这些攻击更加容易。 微软表示遇到了一些成功的手动运行勒索软件活动 服务器杀毒软件 以及管理员为提高性能而可能制作的其他有意禁用的保险丝。 “服务器本身通常没有 防火墙保护 και 外交部他说:“他们的域名凭据薄弱,并使用非随机的本地管理员密码。”

spot_img

实时新闻