时间
2020年9月28日-2020年10月11日
勒索软件家族
Maze、RansomExx
、
OldGremlin、
AgeLocker、
Clop、
Mount Locker、
Sodinokibi
影响国家
美国、意大利、俄罗斯、德国
等
影响行业
IT服务、制造业、医疗等
1.
Maze勒索软件现在通过虚拟机加密文件,以逃避检测
简介
Maze勒索软件采用了Ragnar Locker勒索软件团伙先前使用的一种策略:从部署的虚拟机内部加密计算机文件。
发展
2020年5月,
Ragnar Locker
勒索软件团伙
通过基于VirtualBox的Windows XP虚拟机加密文件,以绕过主机上的安全软件。
虚拟机会将主机驱动器设置为远程共享,然后在虚拟机中运行勒索软件来加密共享文件。
由于虚拟机未运行任何安全软件,且挂载了主机的驱动器,因此主机的安全软件无法检测到恶意软件并将其阻止。
结论
Maze勒索软件在部署勒索软件失败后,
尝试了以前由Ragnar Locker勒索软件使用的策略。
部署了一个MSI文件,该文件将VirtualBox软件以及自定义的Windows 7虚拟机安装在服务器上。
当虚拟机在宿主机的驱动器上执行加密时,安全软件无法检测到该行为并将其停止。
由于Ragnar Locker勒索软件团伙的虚拟机攻击使用Windows XP,因此总大小仅为404MB。由于Maze勒索软件使用Windows 7,因此占用空间大得多,总共为2.6GB。
该攻击说明了勒索软件运营过程是如何监控竞争对手的策略并在必要时采用它们。
还应注意,Ragnar Locker是Maze“联合组织”的一部分,因此Ragnar
Locker
很有可能以这种攻击方法为Maze提供了帮助。
2.
RansomExx勒索软件攻击了美国多家企业
简介
位于美国的一家企业近期遭到了
RansomExx勒索软件的攻击,
由于受到攻击,该企业IT系统在全球范围内被关闭,从而影响了办公室中的电子邮件,电话和网络连接。而近期
政府软件提供商Tyler Technologies(泰勒技术)也遭受该勒索软件攻击。
发展
该企业
在全球各地设有办事处,在全球拥有4,000多名员工,2019年的收入为13亿美元。第二个受害者
泰勒技术是致力于公共领域的美国最大的软件开发和技术服务公司之一。
2020年,泰勒技术公司的收入预计将达到12亿美元,拥有5500名员工,为美国许多州的地方政府提供技术服务。
结论
知情人士看到的部分勒索信内容
表明RansomExx勒索软件对其进行了攻击,
RansomExx是Defray777勒索软件的更名版本,
商业技术巨头柯尼卡美能达(Konica Minolta)在7月底遭到RansomEXX勒索软件攻击,该攻击影响了服务近一周。而RansomEXX勒索软件在2020年5月份就已攻击了美国德克萨斯州法院和德克萨斯州交通运输部,该勒索软件
活动有所增加
,正在针对性攻击特定目标
。
与其他RansomExx勒索信内容一样,攻击者告诉受害者不要与执法机构联系,因为可能会阻止赎金支付。
这次攻击对泰勒技术的运营造成了严重破坏,该攻击被控制在本地且没有传播到他们的客户。
随后
泰勒技术公司已经为获取解密密钥支付了赎金,以恢复在最近的勒索软件攻击中被加密的文件。
已知RansomExx勒索软件在对网络上的设备进行加密之前会先窃取数据。然后勒索软件运营者会扬言要释放这些被盗数据,除非受害者支付了赎金。
由于美国的许多学区,法院系统以及地方政府都是泰勒技术的客户,因此,公开泄漏敏感信息和源代码的风险令人担忧,
这种担忧可能是该企业决定支付赎金的主要因素。
3. 眼镜行业巨头
确认被勒索软件攻击
简介
总部位于意大利的一家眼镜和眼保健巨头遭受了网络攻击,导致多个区域的业务关闭。
发展
该企业有多个眼镜品牌,拥有超过80,000名员工,2019年创造了94亿美元的收入。
结论
据悉该企业的Citrix ADX控制器设备容易受到Citrix设备中严重的CVE-2019-19781漏洞的影响,
攻击者可能使用漏洞获得了访问权限。
4.
新勒索软件团伙OldGremlin使用自定义恶意软件攻击顶级机构
简介
一个新的勒索软件团伙一直在使用大型后门网络,这些网络在
初始阶段和最后阶段
使用自制的后门程序和勒索软件进行攻击。
发展
研究人员正在使用代号OldGremlin追踪该团伙。他们的活动似乎始于2020年3月下旬,但尚未在全球范围内扩展。
结论
OldGremlin
对受害者并不挑剔,只要是
俄罗斯的知名企业(医学实验室,银行,制造商,软件开发商)即可,
通过鱼叉式网络钓鱼电子邮件开始攻击,该电子邮件提供了用于初始访问的自定义工具。他们使用有效名称作为发件人地址,冒充知名人士。
他们似乎精通社会工程,并利用热点时事来使网络钓鱼内容更加可信。
花费一些时间在网络上确定有价值的系统之后,攻击者就部署勒索软件。
5.
AgeLocker勒索软件针对QNAP NAS设备,窃取数据
简介
QNAP NAS设备正受到AgeLocker勒索软件的攻击,该勒索软件对设备的数据进行加密,并在某些情况下从受害者设备上窃取文件。
发展
AgeLocker是一种勒索软件,它利用一种称为Age的加密算法,旨在代替GPG来加密文件。
结论
自2020年8月底以来,AgeLocker或其他使用相同加密算法的勒索软件一直以公开暴露的QNAP NAS设备为目标并对其文件进行加密。
当勒索软件对文件进行加密时,它将留下一个名为HOW_TO_RESTORE_FILES.txt的勒索信,告知受害者其QNAP设备已被针对攻击。
尚不清楚他们要求多少赎金,或者攻击者是如何获得对QNAP设备的访问权限。
不幸的是,无法免费恢复被AgeLocker勒索软件加密的文件。
6.
软件公司IT巨头
遭到
Clop勒索软件攻击
简介
Clop勒索软件团伙近期袭击了德国企业软件巨头Software AG的网络系统,在窃取员工信息和公司文件后要求2300万美元的赎金。
发展
Software AG是一家软件公司,总部位于德国达姆施塔特,在全球70多个国家/地区拥有5,000多名员工和业务。
Software AG的客户列表包括来自政府,银行,运输,保险,零售等机构以及空客,汉莎航空,DHL,Telefonica,瑞士信贷和美国大陆航空等
。
结论
安全人员
找到了用于Software AG攻击的Clop勒索软件可执行文件后,发现
Tor支付站点显示的Software AG赎金需求,显示Clop勒索软件要求解密公司网络上所有加密计算机的赎金为23,000,000美元(或2083,0069 BTC)。
在Software AG付款站点上的聊天框中,Clop勒索软件运营者威胁要发布他们声称从Software AG的设备中窃取的大约1TB数据,包括文档、合同、报告、信件、联系方式、证书等。
7.
Mount Locker勒索软件加入了价值数百万美元的勒索游戏
简介
从2020年7月底开始,
Mount Locker的新勒索软件攻击正在进行中,在加密之前先窃取受害者的文件,然后索要数百万美元的赎金。
发展
受害人
分享的赎金记录显示,Mount Locker团伙在某些情况下要求支付数百万美元的赎金。
结论
在加密文件之前,Mount Locker还将窃取未加密的文件,并威胁受害者,如果不支付赎金,数据将被发布。
例如,Mount Locker告诉一名受害者,他们窃取了400GB的数据,如果未付款,他们将与受害者的竞争对手,媒体,电视频道和报纸联系。
最终,受害者没有付款,他们的数据被发布到勒索软件数据泄漏站点。
