记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华勒索软件调查:Ryuk依然是最大威胁
思科Talos事件响应(CTIR)团队近日的事件响应趋势调研显示,Ryuk依然是最大威胁,且已经连续四个季度在勒索软件威胁领域占据主导地位。调查结果显示,Ryuk的运营商正在改变策略,给受新冠疫情影响的组织带来更大的风险。CTIR总经理Sean Mason表示,Ryuk在过去一年一直是对客户的最大勒索软件威胁,尽管该团队还观测到了其他勒索软件家族,包括Phobos和Maze。Mason解释说,在过去的几个季度中,Ryuk的发展方式表明其运营商正在改变攻击策略,“我们确实看到了Ryuk的一种新的攻击趋势,不一定会借助商品木马感染,这种新手法可能会使它在一段时间内难以被发现,并导致感染增加。”CTIR发现通过Emotet和TrickBot“投放”的Ryuk勒索软件攻击事件有所减少,这是整体上使用商品木马攻击较少的原
付不付赎金?勒索软件民调结果差异巨大
近年来勒索软件已经成为威胁企业和个人数据安全的最大威胁之一。但是对于企业遭受勒索软件攻击的责任归属,是否应当赔付个人用户,以及是否应当支付赎金方面,各国消费者调查结果呈现较大分歧。根据Veritas Technologies的最新调查研究,有40%的消费者认为企业领导者应对企业遭受的勒索软件攻击负责。此外,研究表明,大多数公众认为应当从遭受勒索软件攻击的企业中获得赔偿,65%的受访者希望获得赔偿,甚至9%的受访者希望将CEO送进监狱。Veritas Technologies产品管理副总裁Simon Jelley表示:作为消费者,我们对勒索软件的教育程度日益提高,因此我们不容忍那些没有像我们自己那样认真对待勒索软件的企业。根据消费者的观点,企业应具备的两个最基本要素是保护软件(79%)和数据备份(62%)。现在看
RobbinHood勒索软件另辟渠道,通过驱动漏洞干翻杀毒软件
概述
2月初,奇安信病毒响应中心在日常样本监控过程中发现了一款名为“RobbinHood”的勒索软件通过使用“另类”的方式关闭并删除杀软,经分析,在执行过程中会释放并加载带有漏洞的技嘉驱动程序,之后会对该驱动程序进行漏洞利用,关闭Windows DSE机制,一旦利用成功便会迅速加载没有签名的Rootkit,Rootkit主要功能为结束并删除指定的进程和杀软,上述操作完成后开始加密。
威胁细节
在以往的勒索软件中,Nemty勒索使用Taskkill来结束指定的进程和服务,Snatch勒索会进入安全模式来加密文件,Sodinokibi勒索会使用CVE-2018-8453内核提权漏洞来提升自己的权限结束相关进程和服务。而本文的主角“RobbinHood”结束进程和服务的方式要比上述“残暴”不少。
RobbinHood
数据显示:美国只有38%的政府工作人员接受了勒索软件预防培训
IBM调查显示,有73%的政府人员担心勒索软件会威胁到全国各地的城市。与自然灾害和恐怖袭击相比,更多人担心对社区的网络攻击。
2019年,美国有100多个城市受到勒索软件的攻击。新的Harris Poll中的数据发现,勒索软件的攻击可能将更加广泛,每6个受访者中有1个透露其所在部门受到勒索软件攻击的影响。
尽管这些攻击事件有所增加,但接受调查的员工中有一半的人没有任何培训,只有38%的员工接受了全面的勒索软件预防培训。此外,根据接受调查的州和地方政府IT 或安全专业人员中,有52%的人认为用于管理网络攻击的预算仍然停滞不前。
IBM Security威胁情报副总裁Wendi Whitmore表示:“我们城市中出现的勒索软件流行趋势表明,城市必须像应对自然灾害一样,更好地为网络攻击做好准备。”
不交“赎金”就打爆!出海游戏企业如何应对DDoS勒索
近年来,中国互联网出海已成燎原之势,游戏出海,网络先行。但是,DDoS 攻击却始终是环绕在出海游戏企业头顶的噩梦。近期,UCloud安全中心就接到一例关于DDoS勒索攻击的求助,最终经过完备的云上安全防护,成功逼退黑客。一、不交“赎金”就打爆!2019年12月下旬,某游戏公司突然遭到70G流量的DDoS攻击,并基于前期购买的UCloud高防服务抵抗住了这一波攻击。游戏公司负责人G先生本以为这就是一次小打小闹,黑客方应该已经知难而退。没有料到的是,这仅仅是一次攻击的前奏曲。当天晚上,G先生便收到了来自黑客组织的勒索消息。黑客方声称来自A记,A记是一个臭名昭著的国际黑客组织,从2018年起便陆续被各大安全厂商曝光DDoS勒索的行径。图:黑客勒索的沟通截图在G先生与黑客的沟通过程中,黑客声称第一次的70G DDoS攻
勒索软件五大家族的攻击目标与方法
勒索软件是劫持数据以索求赎金的一类恶意软件,面世已颇有些年头。第一起勒索软件攻击发生在1991年,当时一位生物学家通过平邮将载有首个勒索软件PC Cyborg的软盘寄给其他研究艾滋病的科学家。新千年第一个十年中期,采用加密技术的首款勒索软件Archiveus出现,其密码至今仍可在维基百科页面上找到——尽管此勒索软件早已被安全社区击溃。10年代初,“警方”系勒索软件包浮出水面;此类勒索软件因假冒司法机构发出的违法警告并索取“罚款”而得名,开始利用新一代匿名支付服务避开监管渔利。21世纪第二个十年里,一种新的勒索软件趋势浮现:网络罪犯首选加密货币作为赎金支付方式。加密货币本就专为不可追踪的匿名支付而设计,对勒索者的吸引力显而易见。比特币是最为著名的加密货币,绝大多数勒索软件攻击者都要求以比特币支付赎金。不过,比特币
头号威胁:2020年勒索软件重装上阵
2020年,热度飙升的勒索软件已经成为与APT并列的最危险的网络安全威胁。针对性、复杂化和高伤害成本是2020年勒索软件加速“进化”的三大特征。重装上阵过去一年中业界多家安全厂商对勒索软件监测发现:勒索软件在陷入一段时间低潮后,已经全面恢复活力,攻击势头上升,频率也在增加。Juniper Network威胁实验室负责人Mounir Hahad指出了勒索软件攻击再次激增的两大深层原因:首先,加密货币价格的变化无常。很多加密货币劫持者都利用受害者电脑挖掘开源加密货币门罗币(Monero);随着门罗币价格的下跌,某个时候,加密货币劫持者就会意识到挖矿还不如勒索软件攻击赚钱。而由于已经在受害者主机上植入了木马下载器,加密货币劫持者就很容易在时机合适的时候发起勒索软件攻击。刺激勒索软件卷土重来的另一大趋势就是企业级攻击的
Geerban勒索病毒正在爆破传播,还用了数十款密码抓取工具
一、概述腾讯安全御见威胁情报中心接受到用户求助,称其公司内服务器文件被全盘加密,被加密文件全部修改为.geer类型。经远程协助查看,攻击者疑似通过RDP弱口令登录成功后投毒,再将系统日志全部清除,并尝试在其机器上部署一系列扫描、对抗工具、密码抓取工具达数十个之多,攻击者利用这些工具,对内网其它机器实施攻击,以扩大勒索病毒对该企业网络的破坏数量,勒索更多不义之财。由于该病毒使用RSA+salsa20加密文件,暂无有效的解密工具,我们提醒各政企机构高度警惕,尽快消除危险因素,强化内网安全。 二、分析该勒索病毒编写极为简洁,仅使用22个函数来完成加密过程。病毒涉及到的部分敏感操作均使用NT函数,希望借此躲过一些3环
卡巴斯基:2019年在勒索软件围攻下的市政组织
当今,人们对安全措施必要性的整体认识正在增强,因此也反向促使着网络犯罪分子不断精进他们的攻击目标。回顾过去三年,在所有被恶意软件攻击的用户中,勒索软件的占比似乎呈现出下降趋势——2017年上半年的比例为3.53%,2019年上半年比例为2.94%。虽然这一变化看似不大,但现实中勒索软件往往能够造成严重的损害,我们也不应掉以轻心。图1.受勒索软件攻击的用户在被恶意软件攻击的所有用户中占比卡巴斯基观察到,每半年间大约有90万至120万的用户受到勒索软件攻击。图2.2017年上半年至2019年上半年受到勒索软件攻击的用户数量各类形形色色的勒索软件其原理都是共通的:将计算机上的文件转换为加密数据,并要求受害者赎金换取文件解密。
Matrix勒索病毒最新变种GSAFE曝光,单台赎金高达十万人民币
近日,深信服安全团队捕获到Matrix勒索病毒最新GSAFE变种,该勒索病毒使用Delphi语言编写,加密文件的同时,会将文件名修改为[邮箱].随机字符-随机字符.变种标识的格式,随后释放名为#GSAFE_README#.rtf的勒索信息文件:在近期的攻击中,黑客索要单台主机的赎金竟高达2.5个比特币(换算人民币约13万),而在今年年初,勒索病毒攻击事件中单台主机的赎金仅为0.2~0.8个比特币(换算人民币约1~4万):截至目前,该勒索病毒没有破解方法,暂无公开的解密工具,一旦数据被加密,受害者将陷入高额赎金和数据丢失两种艰难抉择的境地中。早在今年1月,深信服安全团队曝光过该Matrix勒索病毒的另一变种“PRCP变种
新的勒索软件DeathRansom开始声名大噪
近日,一款新的勒索软件问世-DeathRansom。这个勒索软件一开始很不稳定,但是现在它的所有问题都已经解决,并已经开始感染受害者并加密他们的数据。当DeathRansom第一次传播时,它假装对文件进行加密,但是研究人员和用户发现,他们只需要删除附加的.wctc扩展名,文件就可以再次使用。不过,从11月20日左右开始,情况有所变化。不仅受害者的文件真正被加密,而且在勒索软件识别网站ID Ransomware上,有大量与DeathRansom有关的上传。Ransomware上载数据尽管自最初的激增以来人数有所减少,但我们仍然看到新受害者不断涌入,这意味着DeathRansom很可能正在进行活跃的传播。不幸的是
一家人就是要整整齐齐,GarrantyDecrypt勒索病毒最新变种居然做出这种事!
近日,深信服安全团队追踪到GarrantyDecrypt勒索病毒的最新变种,该变种会加密其所能访问的除Windows目录以外的所有文件,可谓寸草不生。由于其采用RSA+salsa20算法加密,目前该勒索样本加密的文件无解密工具。文件被加密后会被加上.bigbosshorse后缀:在被加密的目录下会生成一个名为”#Decryption#”的txt文件,显示受害者的个人ID序列号以及黑客的联系方式等:病毒详细分析病毒文件从对样本的分析中未发现有主动传播行为,病毒本体为一个Win32 exe程序,其编译时间为2019/11/16:病毒在执行完加密行为后会进行自删除:加密准备删除磁盘卷影:禁止Windows故障恢复画
利用IQY(Excel Web Query)文件分发,Buran勒索病毒又出新变种
近日,深信服安全团队关注到一项新的垃圾邮件活动用来传播Buran勒索病毒,其通过传播IQY(Microsoft Excel Web Query)附件,诱导用户打开附件,该附件通过请求网上数据执行powershell,用来进行病毒母体的下载。该家族之前使用”Rig Exploit Kit”工具包(使用CVE-2018-8174-微软IE浏览器远程命令执行漏洞)进行攻击,可以看到勒索病毒在使用多种技术以及方式进行攻击,让受害者防不胜防。据悉,Buran勒索病毒实为VegaLocker勒索病毒的变种,两者在加密后都会修改文件后缀为生成的用户ID,勒索信息文件结构也十分相似:左图为VegaLocker勒索病毒,右图为Buran
破解 “.YOUR_LAST_CHANCE” 勒索病毒攻击
勿抱幻想说起勒索病毒,近年来最为人所熟知的要数2017年爆发的WannaCry,其以一己之力引发了席卷全球的大骚乱——波及150多个国家,超30万名用户中招,累计损失逾80亿美金,并在医疗、金融、能源等关系国计民生的重要行业制造了一系列严重危机事件…今天,距离大魔王WannaCry风波平息已过去两年多的时间,但安全仍未占据主动!如果你已经开始忘记勒索病毒曾经秀过的肌肉,安华金和在此严肃认真地给予友情提醒:相关数据显示,我国2018全年共监测到超430万台计算机遭受勒索病毒攻击,平均每天约1.2万台。其中,企业成为勒索病毒最为热衷的攻击对象——在全球十大流行勒索病毒家族中,有九个都涉及企业攻击。仅2019年上
发布时间:2019-11-19 18:25 |
阅读:28133 | 评论:0 |
标签:勒索软件
新型勒索软件PureLocker现身,被Cobalt、FIN6等多个威胁组织使用
Intezer和IBM X-Force研究团队近期发现了一类新的勒索软件——PureLocker,它由一位资深的恶意软件即服务(MaaS)供应商在暗网上出售,并被Cobalt、FIN6等多个威胁组织使用。攻击者利用它对企业的生产服务器发起定向勒索攻击。PureLocker与“more_eggs”后门恶意软件密切相关,它由PureBasic编程语言编写,针对的操作系统包括Windows和Linux。PureLocker逃避检测的技术十分巧妙,出现几个月后才被安全人员发现,下面将介绍PureLocker的一些技术细节。初步分析分析的Windows样本是一个32位DLL,伪装成一个名为Crypto ++的C ++加密库:在查
京广多地超2万台电脑被挖矿 攻击者利用永恒之蓝漏洞横向扩散
一、背景腾讯安全御见威胁情报中心检测到挖矿木马家族Lcy2Miner感染量上升,工程师对该病毒的感染进行回溯调查。结果发现,有攻击者搭建多个HFS服务器提供木马下载,并在其服务器web页面构造IE漏洞(CVE-2014-6332)攻击代码,当存在漏洞的电脑被诱骗访问攻击网站时,会触发漏洞下载大灰狼远程控制木马。接着由远控木马下载门罗币挖矿木马和“永恒之蓝”漏洞攻击模块,然后利用“永恒之蓝”漏洞攻击工具在企业内网攻击传播,最终攻击者通过组建僵尸网络挖矿牟利。截止目前该团伙已通过挖矿获得门罗币147个,市值约6.5万元人民币。同时,中毒电脑被安装大灰狼远控木马,该木马具有搜集信息、上传下载文件、键盘记录、执行任意程序等多种
公告
九层之台,起于累土;黑客之术,始于阅读