Ryuk 勒索事件详解
发布时间:2022-07-11 15:03:31 所属栏目:安全 来源:互联网
导读:一般勒索软件都是通过大规模垃圾邮件活动和漏洞利用工具进行传播,而Ryuk更倾向于一种定制化的攻击。事实上,其加密机制也主要是用于小规模的行动的,比如只加密受感染网络中的重要资产和资源。Ryuk勒索病毒最早在2018年8月由国外某安全公司发现并报道,此勒
|
一般勒索软件都是通过大规模垃圾邮件活动和漏洞利用工具进行传播,而Ryuk更倾向于一种定制化的攻击。事实上,其加密机制也主要是用于小规模的行动的,比如只加密受感染网络中的重要资产和资源。Ryuk勒索病毒最早在2018年8月由国外某安全公司发现并报道,此勒索病毒主要通过垃圾邮件或漏洞利用工具包进行传播感染。2020年1月至今,工业企业的生产网络或办公网络遭受数十起勒索软件攻击,其中仅Ryuk勒索软件就感染了EVRAZ、EMCOR Group、EWA等多家工业企业,加密企业关键数据信息,导致企业停工、停产,造成重大的经济损失。2019年,美国海岸警卫队(USCG)近日宣布该恶意软件破坏了美国的《海上运输安全法》(MTSA)监管机构的企业IT网络。根据USCG表示,攻击媒介可能是在 MTSA设施上发送网络钓鱼电子邮件给运营商 ,一旦员工点击了电子邮件中的嵌入式恶意链接,勒索软件就加密了受威胁者的重要企业信息技术(IT)网络信息,从而阻止了工作人员访问该设施的关键文件。据了解,Ryuk勒索软件还感染了美国某工业公司的网络系统,黑客组织对监视系统和货物转移的操作系统进行控制,对至关重要的文件加密。 目前Ryuk组织发布的勒索软件可以在29小时内将一封恶意电子邮件发送到整个域,并要求超过600万美元的赎金。攻击者使用了Cobalt Strike,AdFind,WMI,vsftpd,PowerShell,PowerView和Rubeus等工具来实现他们的勒索目标。 在这种情况下,攻击是通过称为Bazar/Kegtap的装载程序恶意软件开始的。研究表明,通过垃圾邮件发送的电子邮件在9月份期间一直呈上升趋势。 从最初执行有效负载开始,Bazar会注入各种进程,包括explorer.exe和svchost.exe以及生成cmd.exe进程。这个活动的最初目标是运行发现使用内置在Windows工具,如nltest, net group,和第三方工具AdFind。 在选择了最可靠的方法来遍历整个环境后,攻击者随后在整个企业范围内建立了信标。为了实现最终目标,他们使用PowerShell在环境中禁用Windows Defender。 首先将域中用于备份的服务器作为加密目标,并在主机上完成一些准备工作。但是,一旦Ryuk勒索可执行文件从其域控制器(DC)pivot通过SMB传输后,只需一分钟即可执行它。 攻击者索要了600多个比特币,这些比特币的市场价值约为600多万美元。 (编辑:云计算网_泰州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330476号