勒索软件Ryuk幕后主使者疑似来自俄罗斯

栏目: 编程工具 · 发布时间: 5年前

内容简介:2018年8月,Check Point的安全专家发现,一群朝鲜黑客针对世界各地组织发起了一场勒索软件活动——这也是该公司首次检测到Ryuk 勒索软件。这场活动看起来目标明确、计划周密,针对了多家企业,并对每家受感染企业的数百台电脑、存储设备和数据中心进行加密。一些受害者企业为了恢复被加密的文件支付了巨额赎金,经CheckPoint确认,受害者支付的赎金金额介于15 到50 比特币之间。全球范围内至少有三个组织因此受到严重影响,据估计,到目前为止攻击者已经净赚64万美元。

勒索软件Ryuk幕后主使者疑似来自俄罗斯

2018年8月,Check Point的安全专家发现,一群朝鲜黑客针对世界各地组织发起了一场勒索软件活动——这也是该公司首次检测到Ryuk 勒索软件。

这场活动看起来目标明确、计划周密,针对了多家企业,并对每家受感染企业的数百台电脑、存储设备和数据中心进行加密。一些受害者企业为了恢复被加密的文件支付了巨额赎金,经CheckPoint确认,受害者支付的赎金金额介于15 到50 比特币之间。全球范围内至少有三个组织因此受到严重影响,据估计,到目前为止攻击者已经净赚64万美元。

Ryuk勒索软件似乎与Hermes恶意软件有关,而Hermes恶意软件则与臭名昭着的Lazarus APT网络犯罪组织有关。最近,《华尔街日报》、《纽约时报》和《洛杉矶时报》等大型报纸的报纸出版也受到了相同的勒索软件的攻击。所以Ryuk被误会与朝鲜有关。

真实“身份”新线索

通过对恶意软件的进一步调查,安全公司使得FireEye和CrowdStrike的专家发现,Ryuk勒索软件背后的威胁行为者正在与另一个网络犯罪团伙合作,以获得对目标网络的访问权。他们正在与TrickBot背后的威胁演员合作。(TrickBot是一种恶意软件,一旦感染了系统,就会向攻击者创建一个反向shell,允许他们进入网络)

  • Crowdstrike的专家认为,Ryuk勒索软件是由他们追踪的名为GRIM SPIDER的犯罪集团操作的,更具体来说是 TrickBot 背后 的俄罗斯团伙WIZARD SPIDER

“GRIM SPIDER是一个复杂的犯罪集团,自2018年8月以来一直在运营Ryuk勒索软件,目标是攻击大型组织获得高额赎金。这种被称为“大型游戏狩猎”的方法标志着WIZARD SPIDER的运营方式发生了变化,GRIM SPIDER似乎只是其中一个部门构成。WIZARD SPIDER threat group,即俄罗斯的银行恶意软件“TickBot”的运营者,过去主要关注电信欺诈领域。”

  • FireEye正在追踪与TEMP.MixMaster相同动机的活动,后者涉及攻击者使用与TrickBot感染相关的Ryuk勒索软件。 这种情况表明,TrickBot运营者正在采用犯罪即服务模式(crime-as-a-service)来提供对他们已经妥协的系统的访问权限。

“需要注意的是,TEMP.MixMaster仅仅是我们看到Ryuk在TrickBot感染后部署的事件,而且并非所有TrickBot感染都会导致部署Ryuk勒索软件。我们怀疑TrickBot管理员组织可能位于东欧,很可能向有限数量的网络犯罪分子提供恶意软件,以便在运营中使用。”

  • FireEye专家观察到malspam传播了Ryuk勒索软件的活动,使用了伪装德勤工资表的信息。一旦受害者打开附件并启用了宏,它就会从远程服务器上下载并执行TrickBot恶意软件。

从FireEye获得的数据表明,尽管这种特定的恶意垃圾邮件运行可能已经分发了不同的文档,活动本身也跨越了不同地区跨行业,但是文档尝试检索辅助有效负载的URL在附件或收件人之间并没有变化。

  • 攻击者使用名为Empire的PowerShell后期开发 工具 包。Empire通过访问的网络分配有效载荷。Empire也允许窃取网络中其他计算机的凭据,然后在其上安装Ryuk Ransomware。

结论

FireEye、CrowdStrike、McAfee进行的调查似乎排除了Ryuk与朝鲜有关这一可能,专家认为勒索软件背后的威胁演员来自俄罗斯。根据McAfee的说法,最初将攻击者归属于朝鲜可能是错误的,因为只有Ryuk和Hermes之间的代码具有相似性。专家们指出,2017年8月,一名讲俄语卖家正在利用Exploit.in在线销售Hermes勒索软件。很可能是Lazarus集团购买了勒索软件,并在其运营中使用它,让人们产生了误解。

声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

浪潮式发售

浪潮式发售

[美] 杰夫.沃克(Jeff Walker) / 李文远 / 广东人民出版社 / 2016-3-1 / 39.80元

10天时间,4种发售路径, 让你的产品一上架就被秒杀 投资失败的个体户,怎样让长期积压的库存,变成众人抢购的稀缺品,最终敲开财富之门? 只有一腔热血的大学毕业生,怎样将原本无人问津的网球课程,发售成价值45万美元的专业教程? 长期脱离社会的全职主妇,如何白手起家,创造出自己的第一款爆品,并挽救即将破碎的家庭? 改变上述人士命运的是同一件法宝——产品发售方程式。互......一起来看看 《浪潮式发售》 这本书的介绍吧!

CSS 压缩/解压工具
CSS 压缩/解压工具

在线压缩/解压 CSS 代码

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器

RGB CMYK 转换工具
RGB CMYK 转换工具

RGB CMYK 互转工具