本周出现了两个新的异常勒索软件家族。 由漏洞利用工具包专家Mol69发现的AnteFrigus勒索软件是通过一项Hookads恶意广告活动提供的,该活动旨在诱使受害者使用RIG漏洞利用工具包服务器,并省略了对C:驱动器中文件的加密。 同时,据观察,由恶意软件分析公司Intezer和IBM X-Force发现的PureLocker勒索软件(由趋势科技检测为Ransom.Win32.PURELOCKER.A)被发现使用新颖的逃避检测技术对企业生产服务器发起有针对性的攻击。 AnteFrigus勒索软件
典型的勒索软件变种,AnteFrigus不会加密受害者计算机的C:驱动器,即用户通常在其中保存个人文件和文档的计算机本地驱动器,这些文件通常是网络罪犯对加密感兴趣的文件。 它还不会对未映射的网络共享上的文件进行加密。
相反,AnteFrigus勒索软件变体所加密的是位于D:,E:,F:,G:,H:和I:驱动器中的文件。
由于AnteFrigus的特殊性质,BleepingComputer推测这可能是因为它是一个复杂的威胁,仅针对用户通常在企业环境中用于网络共享的某些计算机驱动器。 BleepingComputer咨询过的安全研究员Vitali Kremez则认为不是,并认为该变体可能仍处于开发阶段。
BleepingComputer还对自己的AnteFrigus进行了测试,并观察到这种勒索软件变体背后的网络分子要求赎金1,995美元的比特币,如果在四天五小时之内未付款,比特币将增加一倍。 PureLocker勒索软件
PureLocker勒索软件可以加密Windows,Linux和Mac设备上的文件,据观察它使用AES和RSA算法。 通过删除文件的卷影副本和覆盖原始文件,它不会为受害者留下任何恢复选项。 它还使用PureBasic编程语言编写,并且伪装成Crypto ++密码库,从而使其能够逃避沙盒检测。
根据分析,安全研究人员发现,这种特定的勒索软件变种已进行了多次检查,以查看是否在受害者的环境中对其进行了分析或调试。 如果任何检查失败,PureLocker将退出而不删除自身,以免在系统内引发任何红色标记。 如果环境通过所有检查,它将执行其有效负载并在其后立即删除自身。
根据Intezer和IBM X-Force安全研究人员的说法,当他们在VirusTotal上查找一个伪装成Crypto ++库的恶意PureLocker 32-DLL文件时,他们发现该文件逃避了检测超过三个星期。
PureLocker的另一个值得注意的事情是,它重用了来自“ More_Eggs” Jscript后门的一些代码,该后门与网络团伙Cobalt和Fin6相关。 PureLocker加密的文件具有.CR1扩展名,勒索软件避免对可执行文件进行加密。 有趣的是,该勒索软件背后的网络分子并未在勒索票据上指出多少钱用于文件解密。 相反,他们将每个受害者定向到一个唯一的Proton电子邮件地址。 防御勒索软件攻击
勒索软件再次呈上升趋势-根据趋势科技(Trend Micro)2019年年中安全综述,勒索软件在今年上半年的检测率与2018年下半年相比增长了77%。此外,威胁参与者也在扩大范围 行动,不仅针对个人和企业,而且还寻找新的受害者-特别是缺乏适当的安全系统的地方政府。
强烈建议各个行业的组织实施以下最佳做法,以防止勒索软件影响其系统: 定期备份文件和数据,同时还定期检查其完整性。 确保系统,网络,服务器和应用程序得到一致的更新和修补。 强制执行最小特权原则,以最小化攻击面。
[最佳实践:抵御勒索软件的最佳安全实践]
各组织还可以根据其安全需求来寻找第三方事件响应团队。 趋势科技托管XDR就是这样一种服务,它通过集成跨网络,端点,电子邮件,服务器和云工作负载的检测和响应功能来提供更广泛的可见性和专家安全分析。 MDR团队使用高级分析和人工智能(AI)技术,监视组织的IT基础架构24/7,以根据严重性对警报进行关联并确定优先级。 组织可以与经验丰富的网络安全专业人员联系,他们可以熟练地进行根本原因分析,以了解攻击的发起方式,攻击在网络中传播的程度以及需要采取的补救措施。
此外,具有行为监控功能的趋势科技解决方案(如Smart Protection Suite和无忧™ Business Security解决方案)可以通过检测恶意软件来保护用户和企业免受此类威胁的侵害。 文件,脚本和消息,以及阻止所有相关的恶意URL。 趋势科技XGen ™安全性针对数据中心,云环境,网络和端点的各种威胁提供了跨代威胁防御技术组合。 它将高保真机器学习与其他检测技术和全球威胁情报融合在一起,以全面防御高级恶意软件。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢
