近日,老牌游戏开发商Capcom发布了有关去年遭受勒索软件攻击的最终更新,其中详细说明了黑客如何获得网络访问权、感染设备以及窃取了成千上万个人信息。2020年11月上旬,勒索软件Ragnar Locker攻击了老牌日本游戏开发商和发行商Capcom,迫使其关闭了部分网络。攻击者采用了典型的人工勒索软件攻击方式,对Capcom网络上的设备进行加密之前先窃取了敏感信息。Ragnar Locker声称,他们从Capcom窃取了1TB的敏感数据,并要求Capcom支付高达1100万美元的赎金,以避免信息泄漏并获取解密工具。
根据网络安全公司趋势科技最新发布的报告,制造业企业已经成为网络犯罪分子、勒索软件和国家黑客的首要目标,其中61%的企业的工厂发生过网络安全事件,其中四分之三导致生产线下停摆。该报告基于对250个IT部门和250个运营技术(OT)部门的调查,指出OT部门在全面安全性方面面临更多挑战,技术对这两个部门来说都是难题,但人员和流程对于OT部门来说是更大的挑战。OT部门面临的挑战还包括缺乏对资产和相关网络威胁的可见性,以及缺乏网络安全成熟度的既定目标。报告指出:不同的挑战和观点意味着IT和OT部门应该就网络安全进行协作,但是只有12%进行了协作。
0x01 序言
HVV开始,之前分享Linux下的入侵排查,现在补上Windows的入侵排查tricks,最近查看疑似问题终端比较多,个人感觉这些tricks应该可以帮助大家。
常见的应急响应事件分类:
web入侵:网页挂马、主页篡改、Webshell
系统入侵:病毒木马、勒索软件、远控后门
网络攻击:DDOS攻击、DNS劫持、ARP欺骗
0x02 应急排查思路
检查系统账号安全
1、查看服务器是否有弱口令
询问服务器管理员
2、 远程管理端口是否对公网开放。
根据SonicWall最新发布的《2020年威胁报告》,2020年勒索软件、物联网威胁、新的恶意软件和加密劫持激增了两位数,SonicWall形容为网络安全军备竞赛的“引爆点”。报告根据从全球超过100万个传感器中获取的数据以及在SonicWall安全系统之间共享的跨媒介威胁信息编制而成的。2020年,随着Ryuk等更复杂的勒索软件变体针对性攻击大型组织,勒索软件威胁在全球范围内激增了62%,在北美激增了158%。大流行期间,零售(365%)、医疗保健(123%)和政府(21%)部门受到的打击尤其严重。
据BleepingComputer报道,本周起亚汽车美国公司(KMA)疑似遭受了DoppelPaymer团伙的勒索软件攻击,攻击者要求提供2000万美元赎金解密数据,以及防止被盗数据泄漏。起亚汽车美国公司的总部位于加利福尼亚州尔湾,是起亚汽车公司的子公司。KMA在美国拥有近800家经销商,其汽车和SUV在佐治亚州西点市制造。此前,本周三BleepingComputer报道起亚汽车美国正在遭受全国性IT系统中断,受影响系统包括移动UVO Link应用程序、电话服务、支付系统、用户门户以及经销商使用的内部站点。
泛亚大型零售连锁运营商牛奶集团(Dairy Farm Group)本月受到REvil勒索软件攻击,被勒索赎金高达3000万美元的赎金。牛奶集团在亚洲拥有10,000多个网点,23万名员工。2019年牛奶集团的年销售额超过270亿美元。牛奶集团在亚洲市场经营众多杂货店、便利店、保健和美容、家居和餐厅品牌,旗下品牌和店面包括7-11便利店、惠康、巨人(Giant)、冷藏(Cold Storage)、英雄玫瑰药房、GNC、曼宁斯、宜家家居、马克西姆斯等,牛奶集团也是永辉超市的第一大股东。
目录
应急响应
分析具体安全事件
异常点排查
查看日志
D盾查杀
追踪溯源
溯源的思维导图
常用的网址
排错
参考链接
应急响应
分析具体安全事件
常见
通过加强和政府、执法部门、非营利机构、网络安全保险、业内科技公司的合作,安全与技术研究所(IST)正倡导组建全新的勒索软件特别工作组(RTF)。该工作组的创始成员包括了微软、McAfee等诸多科技公司。
RTF的主要工作内容包括:“RTF 将评估现有解决方案在处理勒索软件方面的级别,寻找其中的差距,并为高层决策者创建一个目标具体、可操作的里程碑式的路线图。为了对最终的路线图做出贡献,RTF将委托专家撰写论文,并让各行业的利益相关者参与进来,围绕经过审核的解决方案进行讨论”。
去年,WhatsApp 发现并修补了一个据说被以色列情报机构 NSO Group 利用的漏洞。在某些情况下,受害者或许无法意识到他们已被间谍软件给盯上。几个月后,WhatsApp 方面开始向后者提起诉讼,以披露幕后都有哪些黑手。被告方一再对这些指控提出异议,并且试图以遵从政府指令为由申请法律上的豁免,但未能说服美国法院在今年早些时候撤销该案件。
最新消息是,由微软、谷歌、亚马逊、思科、Facebook、Twitter、VMware 在内的多家科技巨头和互联网协会组成的联盟,已经共同发声支持 WhatsApp,恳请法院驳回 NSO 的主张且不许其受到豁免。
伪装成热门游戏进行勒索早已不再是什么新鲜事了,不过这次是热门游戏《赛博朋克2077》的手游版本。不过受害者可以在不支付赎金的情况下解锁设备。当然没有手游版本的《赛博朋克2077》,只不过是黑客利用对这款游戏了解不多的玩家下手而已。
正如卡巴斯基的 Android 恶意软件分析师 Tatyana Shishkova 所指出的那样,不法分子利用部分玩家对游戏的了解程度不够,创建了一个类似于 Google Play 的假网站,让不知情的访问者可以下载手游版《赛博朋克2077》。
该文件实际上是一个名为 CoderWare 的勒索软件,它是 BlackKingdom 勒索软件的变种。
最新研究显示,越来越多的网络犯罪分子利用商品恶意软件和攻击工具,将部署勒索软件的任务外包给其附属机构。
Sophos发布的一项新分析表示,Ryuk和Egregor勒索软件最近的部署涉及使用SystemBC后门横向移动网络并获取额外的有效负载以供进一步利用。
分支机构通常是负责在目标网络中获得初始立足点的攻击者。
Sophos高级威胁研究人员、前Ars Technica国家安全编辑Sean Gallagher说:“SystemBC是最近勒索软件攻击者工具中的常规部分。”
“后门可以与其他脚本和恶意软件结合使用,以自动方式跨多个目标执行发现、过滤和横向移动。
Pay2Key勒索软件组织周日发布了似乎是从Habana Labs获得的内部文件的细节,Habana Labs是一家位于以色列的芯片初创公司,一年前被英特尔收购。这个被安全公司Check Point与伊朗人联系在一起的黑客组织通过Twitter发布了一张包含Habana Labs的源代码截图,同时还发布了一个Tor浏览器可访问的.onion地址的链接。
该网站包含与Habana Labs的Gerrit代码协作软件、DomainController数据相关的文件名,以及似乎来自这家AI芯片制造商的文件。
在撰写这篇报道时,@pay2key账户因违反Twitter的规则而被暂停。
援引法国 ZDNet 报道,法国法院近日宣判已破产的 BTC-e 加密货币交易所创始人有期徒刑 5 年,并处以 10 万欧元的罚款。罪名是为包括勒索软件组织在内的网络犯罪分子洗钱。 现年 41 岁的亚历山大·温尼克(Alexander Vinnik)是俄罗斯人,在法国检察院未能证明 BTC-e 创始人直接参与了 Locky 的创建和发行之后做出了如上宣判。Locky 是肆虐于 2016-2017 年的勒索软件。
感谢腾讯御见威胁情报中心来稿!
原文链接:https://mp.weixin.qq.com/s/fYZJikSlifHmqikVB4FSyQ
一、概述
Medusalocker勒索团伙于2019年10月开始活跃,国内外均有大量受害者。早期该团伙通过对入侵机器内的数据文件进行加密勒索1比特币(BTC)。随着文件加密+数据窃取的勒索模式流行,该团伙会在勒索信中威胁称:“已收集了高度机密的资料,不付赎金就公之于众”。
近半年来,RaaS(勒索软件即服务)正在成为勒索软件的一个热门趋势。大量勒索软件团伙正在积极拓展RaaS业务,寻找“加盟机构”,分工协作并分享勒索软件攻击获得的利润。很多人认为RaaS就是一种勒索软件租赁服务,攻击实施者会付费使用RaaS团伙提供的恶意软件。事实上,租赁服务只是RaaS的冰山一角,而且以这种方式出租或出售的通常都是质量最差的勒索软件。比较著名的勒索软件团伙通常会采用私人会员计划,外围攻击者可以在会员论坛中提交简历以申请会员资格。对于被接纳的会员,每次成功的勒索软件攻击后,可以分得赎金的70%-80%, 勒索软件开发人员则可获得20%至30%的佣金。
发布时间:
2020-11-23 16:48 |
阅读:33604 | 评论:0 |
标签:
RaaS 勒索软件 勒索
近日,全球第二大白牌笔记本电脑制造商仁宝(Compal)遭遇勒索软件团伙DoppelPaymer的攻击,黑客开出的数据解密赎金高达1700万美元。这家位于中国台湾的笔记本制造巨头仁宝为苹果、联想、戴尔和惠普代工产品,近日终于承认恶意软件感染了其计算机并对其文档进行了加密,此前该公司坚称其遭受的仅仅是IT“异常”,并且其员工挫败了这次网络攻击。据《镜周刊》报道,入侵是在上周日早上发现的,已经瘫痪了公司四分之一的计算机。仁宝工作人员说,他们周一被告知遭受攻击,需要备份文件,经紧急“抢修”后,仍有部分电脑未能完全恢复。但目前来看制造系统似乎尚未受到打击。
文章目录概述网络钓鱼攻击供应链攻击勒索软件攻击物联网攻击复杂工业设备攻击防护建议参考链接:阅读: 0概述以制造业为核心的实体经济才是保持国家竞争力和经济健康发展的基础,也正是由于世界各国对于这一理念的普遍认可,才有了德国的工业4.0战略、美国的先进制造业国家战略、印度的国家制造业政策等国家层面的战略规划,我国也提出了中国制造2025计划,并将“以推动信息化和工业化深度融合为主线,大力发展智能制造,构建信息化条件下的产业生态体系和新型制造模式”作为战略任务,来推进工业2.0、工业3.0和工业4.0并行发展。在以上背景下,全球制造企业面临的网络风险也越来越大。
随着勒索软件攻击越来越复杂、周期越来越长、攻击目标的价值越来越高,勒索软件的赎金也水涨船高。近日勒索软件Ryuk从某受害企业那里成功获取3400万美元赎金,一度刷新了公开的赎金记录。如野火般肆虐的勒索软件的下一个目标是谁?这个行当到底有多“赚钱”?勒索软件攻击手段为何能屡屡奏效,在企业网络里偷天换日,翻江倒海的呢?一次斩获3400万美元赎金根据Advanced Intelligence的Vitali Kremez的说法,Ryuk集团近期的主要目标是科技、医疗、能源、金融服务和政府部门。医疗保健和社会服务领域的组织在所有勒索软件受害者中所占比例略高于13%。
发布时间:
2020-11-10 14:25 |
阅读:30555 | 评论:0 |
标签:
Ryuk 勒索软件 攻击 勒索
2020年11月3日,2020年美国总统大选投票正式启动,拜登与特朗普的“单挑”进入白热化阶段。由于政治角力与网络安全问题的白热化,这注定将是美国历史上最不同寻常的一次总统大选。美国总统大选投票直播链接:https://www.youtube.com/watch?v=4rNJh6kxbDE继上周特朗普竞选网站被黑后,美国总统大选的安全防御工作已警铃大作、风声鹤唳,而选举日的到来,则意味着这场网络战争已经全面启动,正如WhiteHat Security首席安全工程师Ray Kelly所言:选举日对于安全行业来说,不亚于一场网络攻防的“超级碗”大赛。
发布时间:
2020-11-04 19:16 |
阅读:53725 | 评论:0 |
标签:
勒索软件 美国大选 勒索
据路透社消息,东欧犯罪分子正在用勒索软件瞄准数十家美国医院,联邦官员周三敦促医疗机构迅速加强准备工作,以防他们成为下一个目标。据三位熟悉此事的网络安全顾问透露,美国联邦调查局(FBI)正在调查最近的攻击事件,其中包括本周刚刚公开的俄勒冈州、加利福尼亚州和纽约的事件。
专家表示,这些攻击事件背后可能的组织被称为“Wizard Spider”或UNC 1878。他们警告说,这种攻击会扰乱医院的运作,导致生命的离去。这些攻击促使FBI和国土安全局官员在周三为医院管理者和网络安全专家主持了一次电话会议。
一个以恶意软件活动而闻名的资金驱动型攻击组织FIN11,已经研究出了专注于勒索软件和勒索的策略。
据FireEye的Mandiant威胁情报团队称,该组织至少自2016年以来就参与了一系列网络犯罪活动,其中包括利用组织网络获取资金,此外还针对金融、零售、餐厅以及制药行业的销售点(POS)部署了恶意软件。
Mandiant说:“最近最常见的FIN11攻击通过分发CLOP勒索软件导致数据被盗、勒索和破坏受害者网络。”
尽管FIN11在过去的活动与诸如FaultedAmyy、FRIENDSPEAK和MIXLABEL等恶意软件有关,但Mandiant指出,TTP与另一个威胁组织TA505有着显著重叠。
微软警告称,一种新型手机勒索软件利用来电通知和安卓的Home按钮锁定设备进行勒索。
这一发现涉及到一个名为“MalLocker.B”的安卓勒索软件家族的变体,该软件现在以新技术重新出现,包括在受感染设备上传递赎金需求的新方法,以及逃避安全解决方案的模糊机制。
在这一事态发展之际,针对关键基础设施的勒索软件攻击激增,过去三个月勒索软件攻击的日均次数比上半年增加了50%,攻击者越来越多地将双重勒索纳入他们的行动计划。
MalLocker被称为恶意网站,它通过伪装成流行应用程序、破解游戏或视频播放器等各种诱饵在在线论坛上传播。
发布时间:
2020-10-14 12:14 |
阅读:25979 | 评论:0 |
标签:
恶意软件 勒索软件 微软 勒索
本周早些时候的一篇报道称,勒索软件攻击已在去年出现了急剧增加的趋势,并且安全研究行业已将之视为一个日益严重的问题。为帮助大家更好地了解勒索软件问题的严重性,Lumu 特地制作了一幅信息图。预计今年,勒索软件能够以单次超 400 万美元的攻击成本,将全球应对代价推升至 200 亿美元。
令人担忧的是,有 36% 的受害者向恶意攻击者支付了赎金。可即便如此,这批受害者中的 17% 还是没能挽回他们的数据。
从区域来看,北美地区有 69% 的企业报告称其受到了勒索软件的影响,欧洲地区的这一数字则是 57% 。
从行业类型来看,北美地区的政府组织受灾影响最大,其次是制造和建筑业。
发布时间:
2020-10-10 18:04 |
阅读:46236 | 评论:0 |
标签:
网络欺诈 勒索软件 勒索
近日,一个名为“Mount Locker”的新勒索软件团伙在加密前开始窃取受害者数据,并且索要高达数百万美元的赎金。根据BleepingScomputer,与其他勒索软件运营商一样,Mount Locker以高价值企业网络为目标,自2020年7月底以来一直处于活动状态。从一位受害企业共享的勒索软件通知(下图)可以看到,Mount Locker在某些情况下要求受害企业支付的赎金高达数百万美元。在Mount Locker发动的一次攻击中,该团伙从受害企业那里窃取了400 GB的数据,并威胁如果不支付赎金,该团伙将把这些数据与竞争对手和媒体共享。
美国最大的医疗服务机构之一Universal Health Services遭到了勒索软件的攻击。据两名知情人士透露,周日凌晨,UHS系统遭到攻击,全国各地包括加州和佛罗里达州的多家UHS机构的电脑和电话系统被锁定。其中一人说,电脑屏幕上的文字发生了变化,其中提到了 “影子宇宙”,与Ryuk勒索软件的典型症状一致。“每个人都被告知关闭所有的电脑,不要再打开它们,”该人士说。”我们被告知,要过几天电脑才能再次启动。”
目前还不知道勒索软件攻击对患者护理产生了什么影响。
发布时间:
2020-09-29 12:58 |
阅读:37540 | 评论:0 |
标签:
网络欺诈 勒索软件 攻击 勒索
近几个月来,针对关键基础设施的勒索软件攻击激增,网络安全研究人员发现了一个新攻击者,该攻击者一直在尝试对俄罗斯的医疗实验室、银行、制造商和软件开发商的大型公司网络进行多阶段攻击。
这个代号为“OldGremlin”的勒索软件团伙至少自3月以来与一系列活动有关,其中包括上月8月11日发生的对一家临床诊断实验室的成功攻击。
新加坡网络安全公司Group-IB在今天发布的一份报告中说:“该组织迄今只针对俄罗斯公司。”
“利用俄罗斯作为试验场,这些组织随后转移到其他地区,以减少落网的可能性。
网络保险公司在承保阶段和承保后的安全扫描使勒索软件索赔减少了65%。在今年的RSA安全会议上,FBI特工Joel DeCapua指出,70-80%网络攻击事件的是由攻击者侵入互联网上公开暴露的远程桌面服务器引起的。然后,这些违规行为将被黑客用于自己的操作或在地下市场或论坛上出售。由于没有一家公司愿意承受勒索软件攻击带来的损失,因此企业通常都会购买相关网络保险,以支付恢复设备的费用或潜在的勒索费用。为了应对由暴露的RDP服务器和其他易受攻击的设备引起的勒索软件保险索赔的上升趋势,网络保险公司Corvus开始将安全扫描作为其承保流程的一部分。
近日,德国当局正在调查因勒索软件袭击导致杜塞尔多夫一家医院病人死亡的事件。由于杜塞尔多夫医院遭受勒索软件攻击,未能收治一位需要接受紧急治疗的女性患者,该患者不得已被转移到30公里外的伍珀塔尔市一家医院后死亡。据悉,杜塞尔多夫医院于上周9月10日遭遇了勒索软件攻击,30多台内部服务器被感染。该事件是有史以来首次有勒索软件攻击间接造成人类死亡。德国当局目前正在调查患者的死亡原因。德国警方表示,如果发现勒索软件攻击和医院停机直接造成该妇女的死亡,德国警方表示将会把案件性质调升为谋杀案。根据德国新闻媒体RTL的报道,发起攻击的勒索软件团伙在德国警方展开调查后撤回了勒索要求。
发布时间:
2020-09-24 01:29 |
阅读:73055 | 评论:0 |
标签:
勒索软件 网络攻击 勒索
7月23日,导航设备和智能设备制造商Garmin遭受了大规模的服务中断,随后官方确认受到了网络攻击。截至7月29日,受影响的线上服务还未完全恢复。研究人员分析后发现,攻击者使用了一个木马WastedLocker,本文对该木马进行技术分析。
命令行参数
研究人员分析发现WastedLocker使用了命令行接口,可以处理多个控制运行方式的参数。
-p <directory-path>
优先处理:木马首先会加密指定的目录,然后将其加入到排除的列表中来避免再次二次处理,然后加密设备上剩余的其他目录。
思科Talos事件响应(CTIR)团队近日的事件响应趋势调研显示,Ryuk依然是最大威胁,且已经连续四个季度在勒索软件威胁领域占据主导地位。调查结果显示,Ryuk的运营商正在改变策略,给受新冠疫情影响的组织带来更大的风险。CTIR总经理Sean Mason表示,Ryuk在过去一年一直是对客户的最大勒索软件威胁,尽管该团队还观测到了其他勒索软件家族,包括Phobos和Maze。Mason解释说,在过去的几个季度中,Ryuk的发展方式表明其运营商正在改变攻击策略,“我们确实看到了Ryuk的一种新的攻击趋势,不一定会借助商品木马感染,这种新手法可能会使它在一段时间内难以被发现,并导致感染增加。
公告
❤永久免费的Hackdig,帮你成为掌握黑客技术的英雄