安全播报

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
智利政府Windows、Linux服务器遭新型勒索病毒攻击
2022-09-02 14:07:35 【

根据 CSIRT 的说法,这次攻击中使用的恶意软件还具有从 Web 浏览器窃取凭据、列出可移动设备进行加密以及使用执行超时逃避防病毒检测的功能。

以典型的双重勒索方式,入侵者向智利的 CSIRT 提供了一个沟通渠道,以协商支付赎金,以防止文件泄露并解锁加密数据。

攻击者设定了三天的最后期限,并威胁要将被盗数据出售给暗网上的其他网络犯罪分子。

归属不明

智利的 CSIRT 公告没有指出勒索软件组织对这次攻击负责,也没有提供足够的细节来识别恶意软件。

附加到加密文件的扩展名不提供任何提示,因为它已被多个威胁参与者使用。

虽然智利 CSIRT 提供的关于恶意软件行为的少量信息指向 “RedAlert”勒索软件(又名“N13V”),这是一项于 2022 年 7 月启动的操作,但技术细节表明并非如此。

RedAlert 勒索软件在攻击中使用“.crypt”扩展名,针对 Windows 服务器和 Linux VMWare ESXi 机器,能够在加密之前强制停止所有正在运行的虚拟机,并使用 NTRUEncrypt 公钥加密算法。

但是,智利 CSIRT 公告中的妥协指标 (IoC) 要么与 Conti 相关,要么在输入自动分析系统时返回不确定的结果。

Conti 此前曾与对整个国家的攻击有关,例如 2022 年 7 月对哥斯达黎加的攻击,从获得初始访问权限到窃取和加密系统需要五天时间。

智利威胁分析师Germán Fernández 告诉 BleepingComputer,这种病毒似乎是全新的,与他交谈的研究人员无法将恶意软件与已知家族联系起来。

费尔南德斯还评论说,勒索信不是在感染期间产生的,BleepingComputer 可以证实这一细节。研究人员表示,该说明是在部署文件锁定恶意软件之前交付的。

“关于这次攻击的一个特别之处是,威胁行为者在前一阶段分发了勒索记录,以部署勒索软件作为最终的有效载荷,可能是为了逃避问题或避免在共享最终样本时泄露他们的联系方式。 " —— 德国人费尔南德斯

BleepingComputer 能够分析用于攻击的多个恶意软件样本,并检索到名为“ readme_for_unlock.txt ”的赎金记录,如下所示:

身份不明的威胁演员的赎金记录

BleepingComputer 在分析此勒索软件菌株时看到的所有勒索记录都包括指向 Tor 网络中唯一网站的链接以及用于登录的密码。

据我们所知,该勒索软件的数据泄露站点尚不存在。Tor 站点用于显示一个消息框,受害者可以在其中联系黑客。

访问上述通信渠道需要密码,该密码包含在赎金记录中。

该恶意软件将自身配置为在 Windows 登录时启动,并在启动时使用名称 SecurityUpdate。

从目前 BleepingComputer 可以了解到的有关此勒索软件的信息来看,这是一项于 8 月初启动的新操作。

智利网络安全组织建议该国所有国家实体以及大型私人组织采取以下措施:

  • 使用正确配置的防火墙和防病毒工具

  • 更新 VMware 和 Microsoft 资产

  • 保留最重要数据的备份

  • 验证反垃圾邮件过滤器的配置并培训员工识别恶意电子邮件

  • 实现网络分段并应用最小权限原则

  • 随时了解需要立即修补或缓解的新漏洞

智利 CSIRT 为攻击中使用的文件提供了一组危害指标,防御者可以用来保护他们的组织。


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇web服务器安全怎么做 下一篇Apache Hadoop YARN远程代码执行..

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:010-56157787 ,010-56159998
企业QQ:4000043998
技术支持:010-56159998
E-Mail:800@fangyuba.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:4000043998 01056155355
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800