NCSC對攻擊全球組織的Ryuk勒索軟件發(fā)出緊急警報

據(jù)外媒報道，英國國家網(wǎng)絡安全中心（NCSC）發(fā)布了關于Ryuk勒索軟件攻擊的警報，該勒索軟件與Emotet和TrickBot惡意軟件共同發(fā)動攻擊。

研究人員發(fā)現(xiàn)，Ryuk勒索病毒與Emotet和TrickBot一同出現(xiàn)在不同的組織網(wǎng)絡中。

Ryuk勒索軟件最初于2018年8月被發(fā)現(xiàn)，它感染并危害不同組織，獲益數(shù)百萬美元。Emotet是著名的惡意軟件，被其他木馬病毒用作初期感染的dropper，受害者遍布世界各地。Trickbot是一種銀行惡意軟件，它竊取應用程序的登錄憑證。自從被發(fā)現(xiàn)以來，黑客不斷地向Trickbot中添加新功能。

勒索軟件在其攻擊鏈中使用了TrickBot和Emotet惡意軟件，目標是大型組織，以獲取高額贖金。據(jù)稱，勒索軟件由專業(yè)的黑客組織GRIMSPIDER操作。

Ryuk勒索軟件使用Emotet進行初始階段的感染，并檢查受害者的機器是否容易感染。Trickbot隨后部署了額外的開發(fā)后工具來支持操作，其中有Mimikatz和PowerShell Empire模塊。

Post利用模塊收集憑據(jù)、遠程監(jiān)視工作站，從而感染同一網(wǎng)絡中的其他系統(tǒng)。感染Emotet的機器定期檢查來自命令和控制服務器(C2)的模塊，這些模塊通常是DLL或EXE，加載在受感染的系統(tǒng)上以擴展功能。

所有非執(zhí)行文件在感染過程結(jié)束時加密，并顯示勒索軟件提示，要求用比特幣支付贖金。Ryuk病毒是一種持續(xù)性感染病毒。惡意軟件的安裝程序會停止某些殺毒軟件，并根據(jù)系統(tǒng)安裝相應版本的Ryuk。

根據(jù)NCSC的說法，Ryuk勒索軟件本身沒有在網(wǎng)絡中橫向移動的能力，因此依賴于初次感染訪問，它可枚舉共享網(wǎng)絡并加密它可以訪問的共享網(wǎng)絡。此外，勒索軟件使用的反取證技術(shù)，使備份恢復變得更為困難。