邪恶的公司最新的赎金软件项目快速传播
根据NCC的狐狸IT单元的研究人员,俄罗斯网络犯罪团似乎是经营新的赎金软件紧张,这是自2020年5月以来一直在广泛的流通。
邪恶的公司在2019年美国美国的两个更高档案所谓的成员起诉后缩减了其活动 - Igor Turashev和Maksim Yakubets希望在Bugat / Dridex和宙斯银行特洛伊木马的创建和传播中作用。
然而,威胁研究人员尼古拉泮山山脉,斯特凡诺和迈克尔·桑德说,即使“商业”协会可以在有组织的网络刑事帮派中流畅,伙伴关系和伴侣组成并溶解在帽子下降,他们能够评估邪恶的公司在废物锁定器后面的高度信心。
他们表示,该集团能够获得高技能的漏洞利用和软件开发人员,并在绕过端点保护解决方案中,甚至甚至展示了一个合法的客户,以便在网络安全供应商中获得免费试验。众所周知,他们是经验丰富,患者和持久的,具有很高的关注细节。
WastedLocker - 如此命名,因为它为由受害者名称和字符串组成的加密文件添加了一个扩展,被认为是本集团的三岁位数的替代品,具有很少的代码重用或相似之处。
它通过恶意JavaScript框架感染其目标,Socgholish将自己伪装为软件更新,并且根据Symantec,已被跟踪到150多个受损网站。在其目标中,它使用CobaltStrike商品恶意软件来窃取凭证,升级权限,并通过网络横向移动,以便尽可能多地部署WastedLocker。
赛门铁克表示,通过自己的分析工具,它迄今为止检测到31个组织的浪费锁定者攻击,其中所有的都在美国,主要是主要公司。它表示,其中有11名上市,八家是财富500强公司。
Erich Kron是一个知识4的安全意识倡导者之一,说他并不极好惊讶地看到邪恶的公司回到现场。
“现在看来我们知道为什么他们已经走了一会儿 - 他们正在研究这种新的赎金厂,”凯伦说。“我经常开玩笑地录制着销售的新产品;但是,在这种情况下,这似乎是真相。
“很多努力都在写这篇文章,显然来自划痕,我们通常可以期望在新产品中看到先前应变的变体或至少一些代码重用。有趣的是,它似乎唯一的相似之处躺在赎金中。“
与其他人不同,邪恶的公司尚未通过威胁威胁要发布被盗的受害者的策略,而Kron则注意到这是非常不寻常的,尽管他补充说,它可能简化了邪恶的公司 - 因为它不必交易通过存储和发布任何漏斗的数据,或在盗窃期间风险暴露自身。
“他们的价格标签足够大,我们可以假设他们对只需几个受害者来支付的人会感到满意,”凯伦说。“他们确实有一个非常良好的计划,涵盖如何通过针对特定类型的服务器来实现如何发生这种情况,并在任何地方寻找它们可以找到它们的备份。ransomware加密备份后,您的选择变得非常有限于如何继续。“
虽然Evil Corp似乎正在使用Wastedlocker目前的目标业务,但Exabeam的Steve Moore表示,过去的12个月已经证明了毫无疑问 - 特别是对于公共部门机构和政府机构的损坏是多么损坏 - 并表示2020年的股权随着美国总统选举方法更高。
他说:“网络安全社区需要加强在这个需要的情况下,并为联邦和州选举系统提供一种方式,以锁定外国干扰和赎金软件,”他说。“这将需要政府实体分配网络专业人员和特遣部队,以准备任何新系统,以便在锁定和不受外部或内部糟糕演员的情况下锁定和不受违反的同时全新的功能。
“有关代理商和组织可以采取的步骤增加他们检测和扰乱和激励对手的机会。这些攻击在交付中很简单,但难以预防 - 特别是因为感染通常伪装自己是无辜的附件或电子邮件链接。
“代理商可以教育他们的员工,但没有保证有人最终不会滑倒 - 它只需要一个,特别是在家工作时。”
摩尔补充说,商品安全控制是,By andly,无法跟上赎金软件开发和更新的步伐,因此需要削减到更改和减少隐藏在入站电子邮件中的无证业务流程,并提供更大的功能安全团队,如行为分析和机器学习。