自 2019 Maze 首次亮相以來,Maze 被證明是最多產,最具攻擊性的勒索程式系列之一。 它們是首批接受加密並公開發布受害者數據的 “雙重打擊” 之一。 與當今的其他勒索程式相似,Maze 甚至擁有自己的 blog。 截至今天(10月30日), Maze 已在他們的 shamming 網站上列出了 330 多家公司。 這些清單中有許多伴隨著被偷走的戰利品的完整數據洩漏。 所列受害者中,最常見的行業是金融業,消費品/批發商,建築和金融服務。 也就是說,受害者基本上代表了你可以想像的產業。 儘管在 blog 上尚無任何公告,但他們似乎減少了在網站上顯示的信息量。 目前也不清楚其他自稱是 “Maze Cartel” 成員的勒索程式家族(例如:Ragnar,SunCrypt)是否會出現。 只有時間會證明這種 “關閉” 是否永久的?; 但至少,我們很高興知道可以從攻擊中休息一下..哪怕僅是暫時性的。 The Bad 本週,CISA(Cybersecurity & Infrastructure Security Agency)發布了Alert(AA20-302A)。這份聯合的 Advisory 報告,指示出 Trickbot,Ryuk 和相關惡意程式家族越來越關注在 High Value 醫療機關。 警告裡明確指出:“作為新的 Anchor toolset 的一部分,Trickbot 開發人員創建了 Anchor_DNS,這是一種使用域名系統(DNS)tunnel 來發送和接收數據受害者主機的工具。” 根據 FBI,CISA 和 HHS 警吿,相關人員一直在積極地將 Trickbot / Anchor 部署到目標醫療機構中,以擴大 Ryuk 後期感染的發作。 SentinelLabs 團隊已經確定 Trickbot 背後的團隊正在積極地更新和部署各種模塊,包括 Anchor 和 Bazar Loader。 Trickbot的進階版正在將其推廣到包括醫療機構在內的 High-Value 目標。 在我們的研究成果中,重點說明了 TrickBot's Anchor 項目將繼續進行開發,並使用 ICMP 下命令和控制通信。 在過去的幾年中,Trickbot 不斷證明了他們彈性。 最近嘗試破壞了 Trickbot ,也僅在有限時間內有效。 這些攻擊背後的人,資源充裕,人員配備齊全,並專注於危險的又被遺棄的目標。 CISA alert 提供了有關緩解,Ransomware Best Practices ,用戶意識 best practice,勒索程式預防以及充足的情境聯繫方面的詳細指南和步驟。 我們鼓勵所有人審視徹底的警報,並迅速採取任何行動以減少接觸,並改善防禦。 The Ugly 除 Ryuk 之外,NetWalker 最近也非常活躍。本週,跨國能源公司 Enel Group 成為 NetWalker 勒索程式的受害者。他們很快被公布在的 “shaming blog” 上;有些報導指出,攻擊者要求提供 1400 萬美元的贖金。此外,大型辦公家具公司 Steelcase 也受到 Ryuk 的攻擊。據報導,Steelcase 攻擊活動按照該駭客們的標準程序,通過 Trickbot 和,或 Bazar Loader 啟動了勒索程式。
最後,排除一般的勒索和惡意程式,一個對 Vastaamo 的攻擊,可能是本週最 “醜陋” 的一個……。這家位於芬蘭的公司在全國各地設有多個心理治療中心。據稱,攻擊者攻擊了公司,並竊走了數百份患者記錄。而攻擊者可以 access 個人和他們的健康資訊,訪談記錄,日期和帳單。之後直接(通過 email)與某些受影響的患者聯繫,進一步提出個別勒索要求。攻擊者已要求40 BTC(〜54萬美元)來阻止竊取的數據發佈到他們在暗網上維護的站點。 所有這些攻擊都是非常不幸的。這是一個很好的提醒,請不斷檢查您的安全狀況並保持防禦能力!
0 Comments
Your comment will be posted after it is approved.
Leave a Reply. |
Categories
All
Archives
January 2021
|