主页保安CISA已经发布了对FiveHands勒索软件的详细分析!

CISA已经发布了对FiveHands勒索软件的详细分析!

CISA发布了分析者最近发现的FiveHands勒索软件的分析 美国麦迪安网络安全公司 FireEye。 在 四月底,FireEye的Mandiant的研究人员发现, 复杂的网络犯罪团伙 监视为 “ UNC2447” 利用了一个 零日漏洞(CVE-2021-20016) 设备 SonicWall安全移动访问(SMA),该地址位于今年早些时候,但该公司仍未设法对其进行更正。

UNC2447定位为 欧洲和北美的组织,在最近几个月中使用了各种各样的恶意软件。 在团队使用的恶意软件中 从2020年XNUMX月开始 包括在内 Sombrat,FiveHands,Warprism PowerShell滴管,Cobalt Strike信标和FoxGrabber。 在勒索操作期间,UNC2447使用FiveHands勒索软件,网络犯罪分子威胁受害者向媒体披露其黑客攻击或将其数据出售给黑客论坛。

阅读: 勒索软件团队利用零时差的SonicWall破坏网络

CISA
CISA已经发布了对FiveHands勒索软件的详细分析!

Η 恶意软件分析报告(MAR) 由CISA发布,包含详细信息 分析18个恶意文件 提交给组织。 其中一个文件是新的勒索软件病毒,八个文件是开源渗透测试工具和开发工具,称为FiveHands,并且这些文件与SombRAT RAT相关。

CISA发现最近对组织成功的网络攻击,该组织使用FiveHands勒索软件,SombRAT和开放源代码工具窃取信息和文件,随后要求勒索。
MAR包括建议的响应措施和缓解技术,以减轻网络攻击的风险。

另请参阅: 古巴与Hancitor恶意软件进行勒索软件合作以进行垃圾邮件攻击

FiveHands勒索软件
CISA已经发布了对FiveHands勒索软件的详细分析!

FiveHands勒索软件还会对恢复文件夹中的文件进行加密 C:\恢复,然后写一个 赎金记录 在系统中的每个文件夹和目录中,名为 Read_me_unlock.txt。 该 黑客 使用SombRAT作为攻击的一部分,以下载并执行其他恶意有效载荷。

提案: QNAP警告AgeLocker勒索软件攻击NAS设备

FiveHands勒索软件使用称为 NTRUE加密,列出了使用Windows Management Instrumentation(WMI)进行复制的Volume Shadow的副本,然后将其删除以使其无法检索 数据。 最后,将FiveHands勒索软件编写为 C ++,虽然它有很多 相似点 死亡赎金 两种恶意软件菌株似乎都与 HelloKitty勒索软件.

信息来源:securityaffairs.co

波哈康塔斯https://www.secnews.gr
每一项成就都始于尝试的决定。
spot_img

实时新闻