據(jù)外媒報道,英國國家網(wǎng)絡安全中心(NCSC)發(fā)布了關于Ryuk勒索軟件攻擊的警報,該勒索軟件與Emotet和TrickBot惡意軟件共同發(fā)動攻擊。
研究人員發(fā)現(xiàn),Ryuk勒索病毒與Emotet和TrickBot一同出現(xiàn)在不同的組織網(wǎng)絡中。
Ryuk勒索軟件最初于2018年8月被發(fā)現(xiàn),它感染并危害不同組織,獲益數(shù)百萬美元。Emotet是著名的惡意軟件,被其他木馬病毒用作初期感染的dropper,受害者遍布世界各地。Trickbot是一種銀行惡意軟件,它竊取應用程序的登錄憑證。自從被發(fā)現(xiàn)以來,黑客不斷地向Trickbot中添加新功能。
勒索軟件在其攻擊鏈中使用了TrickBot和Emotet惡意軟件,目標是大型組織,以獲取高額贖金。據(jù)稱,勒索軟件由專業(yè)的黑客組織GRIMSPIDER操作。
Ryuk勒索軟件使用Emotet進行初始階段的感染,并檢查受害者的機器是否容易感染。Trickbot隨后部署了額外的開發(fā)后工具來支持操作,其中有Mimikatz和PowerShell Empire模塊。
Post利用模塊收集憑據(jù)、遠程監(jiān)視工作站,從而感染同一網(wǎng)絡中的其他系統(tǒng)。感染Emotet的機器定期檢查來自命令和控制服務器(C2)的模塊,這些模塊通常是DLL或EXE,加載在受感染的系統(tǒng)上以擴展功能。
所有非執(zhí)行文件在感染過程結(jié)束時加密,并顯示勒索軟件提示,要求用比特幣支付贖金。Ryuk病毒是一種持續(xù)性感染病毒。惡意軟件的安裝程序會停止某些殺毒軟件,并根據(jù)系統(tǒng)安裝相應版本的Ryuk。
根據(jù)NCSC的說法,Ryuk勒索軟件本身沒有在網(wǎng)絡中橫向移動的能力,因此依賴于初次感染訪問,它可枚舉共享網(wǎng)絡并加密它可以訪問的共享網(wǎng)絡。此外,勒索軟件使用的反取證技術(shù),使備份恢復變得更為困難。
-
網(wǎng)絡安全
+關注
關注
10文章
3086瀏覽量
59471 -
勒索軟件
+關注
關注
0文章
37瀏覽量
3547
原文標題:NCSC對攻擊全球組織的Ryuk勒索軟件發(fā)出緊急警報
文章出處:【微信號:EAQapp,微信公眾號:E安全】歡迎添加關注!文章轉(zhuǎn)載請注明出處。
發(fā)布評論請先 登錄
相關推薦
評論