30月18日,星期一,01:XNUMX
保安 LockBit勒索软件:悄无声息地快速攻击目标

LockBit勒索软件:悄无声息地快速攻击目标

LockBit勒索软件只需五分钟即可开发其例程 加密 在系统中,一旦入侵受害者的网络。 LockBit由自动化流程驱动,可快速部署到受害者的网络,定位有价值的系统并对其进行锁定。

LockBit攻击留下的痕迹很少,以后可以由安全专家进行分析,因为 恶意软件 被加载到系统内存中 档案 日志和备份文件将在执行期间删除。

LockBit勒索软件

在调查了对小型组织的八次攻击之后,其安全调查员 Sophos的 能够连接更多组件,以更清楚地了解LockBit的工作原理。 特别是在一种情况下,他们发现 攻击 由运行远程PowerShell脚本的受感染Internet信息服务器启动,然后调用嵌入在远程文档中的另一个脚本 谷歌 床单。 该脚本连接到命令和控制服务器(C&C)以安装PowerShell模块,目的是添加 后门 并在目标系统中实现持久性。

LockBit勒索软件

为了避免被检测到并且不会在日志中看到,攻击者重命名了PowerShell和二进制文件的副本以运行应用程序 微软 HTML (mshta.exe)。 所以Sophos将此事件命名为 PS重命名 攻击。

后门负责安装攻击模块并执行VBScript,该VBScript在重新启动系统上下载并执行第二个后门。 Sophos威胁负责人Sean Gallagher表示,攻击脚本还试图绕过内置的反恶意软件界面。 窗户10 [AMSI],直接在内存中应用补丁。

LockBit勒索软件

在攻击系统中发现的对象建议使用基于以下内容的脚本 PowerShell Empire开发后框架。 攻击者的目标是收集有关受害者网络的信息,确定有价值的系统,并检查可用的防御安全解决方案。

Gallagher补充说,这些脚本使用正则表达式在Windows注册表中搜索用于销售点系统或会计系统的“非常特定类型的商业软件”。
Gallagher说,只有当目标被证明具有高度重要性时,恶意代码才会使用LockBit勒索软件。

攻击

根据BleepingComputer的说法,当LockBit勒索软件检测到有价值的目标时,它会使用Windows Management Instrumentation(WMI)命令在五分钟内在内存中运行。 在这些攻击中,最初的破坏方法仍然未知。 在安全解决方案公司XNUMX月发布的报告中 McAfee Labs και Northwave详细描述了LockBit勒索软件如何访问受害者的网络, 蛮力 攻击管理员的登录以获取旧服务 VPN。 在三个小时内,该恶意软件加密了约25个 服务器 和225个计算机系统。

离开答案

请输入您发表评论!
请在此输入你的名字

Pohackontas
Pohackontashttps://www.secnews.gr
每一项成就都始于尝试的决定。

实时新闻

越南黑客使用新的macOS后门

趋势科技研究人员发现了一个新的macOS后门,他们认为越南黑客团队OceanLotus正在使用该后门。

营销经理因打扰电话而被解雇

一家营销公司的董事被禁止从事此职务六年,因为据称他从事...

阿斯利康:朝鲜黑客袭击了该公司

英国生物制药公司阿斯利康(AstraZeneca)的员工进行冠状病毒疫苗的临床试验,他们共同开发了...

黑色星期五期间发送的电子邮件中,有七分之二是恶意的!

安全专家说,黑色星期五发送的电子邮件中有七分之二是恶意的。 Vade Secure声称...

暗黑屠杀行动背后的APT团队又回来了

根据Check Point的说法,Dark Caracal黑客行动背后的APT团队已经返回。 该公司的安全调查员透露...

我应该继续使用我的密码管理器吗?

如今,当每个人都有许多帐户时,使用密码管理器是您可以做的最好的事情之一...

意大利:黑客利用黑匣子攻击从800.000台自动柜员机中盗走了35万欧元!

黑客使用一种新的黑匣子攻击技术从至少35家在意大利的银行中运行的ATM机中窃取了钱。 Carabinieri ...

黑客出售属于高级管理人员的电子邮件凭证

黑客将凭证出售给属于全球数百名C级高管的电子邮件帐户。

卡巴斯基:降低诚实公司的违规成本

根据卡巴斯基(Kaspersky)的一项新研究,那些表明自己是违规行为受害者的公司的财务损失要少40%。

宾夕法尼亚县拖欠Doppel $ 500.000赎金Paymer勒索软件黑客

宾夕法尼亚州宾夕法尼亚州向上周末用DoppelPaymer勒索软件感染其系统的黑客支付了500.000美元的赎金....