第一個(gè)Underground勒索軟件樣本首次發(fā)現(xiàn)于2023年7月初,其背后的攻擊者在2023年7月13日在其數(shù)據(jù)泄露網(wǎng)站中發(fā)布了第一個(gè)受害者的信息。與大多數(shù)勒索軟件一樣,該勒索軟件會(huì)加密受害者Windows計(jì)算機(jī)上的文件,并威脅受害者支付贖金。有研究報(bào)告表明,位于俄羅斯的RomCom組織,也被稱為Storm-0978,利用Underground勒索軟件進(jìn)行攻擊活動(dòng)。該勒索軟件運(yùn)行后會(huì)釋放名為“!!readme!!!.txt”的勒索信,對(duì)文件進(jìn)行加密但不會(huì)添加或更改被加密文件的擴(kuò)展名。該勒索軟件會(huì)創(chuàng)建并執(zhí)行temp.cmd,以刪除原始勒索軟件,獲取并刪除Windows事件日志。
https://www.fortinet.com/blog/threat-research/ransomware-roundup-underground
研究人員披露一個(gè)名為Cicada3301的勒索組織Cicada3301勒索組織于2024年6月29日,在網(wǎng)絡(luò)犯罪論壇RAMP中首次發(fā)布帖子。該勒索組織已經(jīng)在其勒索網(wǎng)站中列出了19名受害者。與很多勒索組織類似,Cicada3301執(zhí)行雙重勒索策略,他們從受害者網(wǎng)絡(luò)中竊取數(shù)據(jù),然后對(duì)設(shè)備中的文件進(jìn)行加密,并威脅受害者支付贖金以換取泄露的數(shù)據(jù)。研究人員發(fā)現(xiàn)Cicada3301和ALPHV/BlackCat之間存在重疊的惡意代碼,表明這兩個(gè)勒索組織之間可能存在關(guān)聯(lián)。Cicada3301勒索組織使用的加密程序基于Rust進(jìn)行編寫(xiě),并針對(duì)Windows和Linux/VMware ESXi進(jìn)行攻擊。加密文件時(shí),加密程序會(huì)在被加密文件名后附加一個(gè)隨機(jī)的七個(gè)字符的擴(kuò)展名,并創(chuàng)建名為“RECOVER-[extension]-DATA.txt”的勒索信。
參考鏈接:
https://www.bleepingcomputer.com/news/security/cicada3301-ransomwares-linux-encryptor-targets-vmware-esxi-systems
RansomHub勒索組織對(duì)哈里伯頓進(jìn)行了網(wǎng)絡(luò)攻擊RansomHub勒索組織是近期對(duì)石油及天然氣服務(wù)公司哈里伯頓(Halliburton) 進(jìn)行網(wǎng)絡(luò)攻擊的幕后黑手,此次網(wǎng)絡(luò)攻擊影響了該公司的IT系統(tǒng)和業(yè)務(wù)運(yùn)營(yíng)。由于相關(guān)系統(tǒng)被網(wǎng)絡(luò)攻擊所關(guān)閉,其客戶無(wú)法生成發(fā)票或采購(gòu)訂單。哈里伯頓披露了這次攻擊事件,稱他們于2024年8月21日遭受了網(wǎng)絡(luò)攻擊。雖然哈里伯頓尚未提供有關(guān)此次攻擊的更多細(xì)節(jié)及攻擊者信息,但安全研究人員在該公司提供的IOC列表中發(fā)現(xiàn)了一個(gè)名為maintenance.exe的Windows可執(zhí)行程序,并確認(rèn)該程序是RansomHub勒索軟件加密程序。經(jīng)分析,該程序相較之前的版本包含一個(gè)新的“-cmd string”命令行參數(shù),該參數(shù)用于在加密文件之前在設(shè)備上執(zhí)行命令。
參考鏈接:
https://www.bleepingcomputer.com/news/security/halliburton-cyberattack-linked-to-ransomhub-ransomware-gang
伊朗黑客以美國(guó)為目標(biāo)發(fā)起勒索軟件和間諜攻擊
2024年8月28日,最新報(bào)告和聯(lián)邦咨詢警告稱,伊朗黑客近期對(duì)美國(guó)及阿聯(lián)酋的公共和私營(yíng)部門發(fā)起了系列勒索軟件攻擊和網(wǎng)絡(luò)間諜活動(dòng)。伊朗的網(wǎng)絡(luò)威脅組織“先鋒小貓”(Pioneer Kitten),也稱為UNC757和Rubidium等,自2017年以來(lái)已經(jīng)滲透了美國(guó)學(xué)校、金融機(jī)構(gòu)、醫(yī)療設(shè)施及市政府等多個(gè)組織,近期活動(dòng)仍在繼續(xù)。根據(jù)聯(lián)邦調(diào)查局、網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局和國(guó)防部網(wǎng)絡(luò)犯罪中心發(fā)布的聯(lián)合咨詢,這些攻擊者的主要目標(biāo)是獲取和維持對(duì)受害網(wǎng)絡(luò)的技術(shù)訪問(wèn),以便進(jìn)行未來(lái)的勒索軟件攻擊。
參考鏈接:
https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-241a
BlackByte勒索軟件利用VMware ESXi漏洞發(fā)起新一輪攻擊
2024年8月28日,BlackByte勒索軟件集團(tuán)被發(fā)現(xiàn)利用最近修復(fù)的VMware ESXi安全漏洞(CVE-2024-37085)發(fā)起新一輪攻擊。該漏洞使攻擊者能夠獲得虛擬化平臺(tái)的管理員權(quán)限,進(jìn)而控制虛擬機(jī)和修改服務(wù)器配置。研究人員的報(bào)告顯示,BlackByte還使用了多種易受攻擊的驅(qū)動(dòng)程序來(lái)繞過(guò)安全保護(hù),并在攻擊中部署了自我傳播的勒索加密器。該組織從2021年下半年開(kāi)始活躍,歷史上以利用ProxyShell漏洞和雙重勒索策略而聞名。近期攻擊中,黑客利用有效憑據(jù)訪問(wèn)受害者VPN,并通過(guò)暴力破解獲取初始訪問(wèn)權(quán)限,隨后使用VMware vCenter服務(wù)器創(chuàng)建管理員賬戶以提升權(quán)限。
參考鏈接:
https://blog.talosintelligence.com/blackbyte-blends-tried-and-true-tradecraft-with-newly-disclosed-vulnerabilities-to-support-ongoing-attacks/
美創(chuàng)科技第59號(hào)安全實(shí)驗(yàn)室,專注于數(shù)據(jù)安全技術(shù)領(lǐng)域研究,聚焦于安全防御理念、攻防技術(shù)、漏洞挖掘等專業(yè)研究,進(jìn)行知識(shí)產(chǎn)權(quán)轉(zhuǎn)化并賦能于產(chǎn)品。自2021年起,累計(jì)向CNVD、CNNVD等平臺(tái)提報(bào)數(shù)千個(gè)高質(zhì)量原創(chuàng)漏洞,并入選國(guó)家信息安全漏洞庫(kù)(CNNVD)技術(shù)支撐單位(二級(jí))、信創(chuàng)政務(wù)產(chǎn)品安全漏洞庫(kù)支撐單位,團(tuán)隊(duì)申請(qǐng)發(fā)明專利二十余項(xiàng),發(fā)表多篇科技論文,著有《數(shù)據(jù)安全實(shí)踐指南》、《內(nèi)網(wǎng)滲透實(shí)戰(zhàn)攻略》等。