據外媒報道,英國國家網絡安全中心(NCSC)發布了關于Ryuk勒索軟件攻擊的警報,該勒索軟件與Emotet和TrickBot惡意軟件共同發動攻擊。
研究人員發現,Ryuk勒索病毒與Emotet和TrickBot一同出現在不同的組織網絡中。
Ryuk勒索軟件最初于2018年8月被發現,它感染并危害不同組織,獲益數百萬美元。Emotet是著名的惡意軟件,被其他木馬病毒用作初期感染的dropper,受害者遍布世界各地。Trickbot是一種銀行惡意軟件,它竊取應用程序的登錄憑證。自從被發現以來,黑客不斷地向Trickbot中添加新功能。
勒索軟件在其攻擊鏈中使用了TrickBot和Emotet惡意軟件,目標是大型組織,以獲取高額贖金。據稱,勒索軟件由專業的黑客組織GRIMSPIDER操作。
Ryuk勒索軟件使用Emotet進行初始階段的感染,并檢查受害者的機器是否容易感染。Trickbot隨后部署了額外的開發后工具來支持操作,其中有Mimikatz和PowerShell Empire模塊。
Post利用模塊收集憑據、遠程監視工作站,從而感染同一網絡中的其他系統。感染Emotet的機器定期檢查來自命令和控制服務器(C2)的模塊,這些模塊通常是DLL或EXE,加載在受感染的系統上以擴展功能。
所有非執行文件在感染過程結束時加密,并顯示勒索軟件提示,要求用比特幣支付贖金。Ryuk病毒是一種持續性感染病毒。惡意軟件的安裝程序會停止某些殺毒軟件,并根據系統安裝相應版本的Ryuk。
根據NCSC的說法,Ryuk勒索軟件本身沒有在網絡中橫向移動的能力,因此依賴于初次感染訪問,它可枚舉共享網絡并加密它可以訪問的共享網絡。此外,勒索軟件使用的反取證技術,使備份恢復變得更為困難。
-
網絡安全
+關注
關注
10文章
3156瀏覽量
59710 -
勒索軟件
+關注
關注
0文章
37瀏覽量
3576
原文標題:NCSC對攻擊全球組織的Ryuk勒索軟件發出緊急警報
文章出處:【微信號:EAQapp,微信公眾號:E安全】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
評論