第一個Underground勒索軟件樣本首次發現于2023年7月初,其背后的攻擊者在2023年7月13日在其數據泄露網站中發布了第一個受害者的信息。與大多數勒索軟件一樣,該勒索軟件會加密受害者Windows計算機上的文件,并威脅受害者支付贖金。有研究報告表明,位于俄羅斯的RomCom組織,也被稱為Storm-0978,利用Underground勒索軟件進行攻擊活動。該勒索軟件運行后會釋放名為“!!readme!!!.txt”的勒索信,對文件進行加密但不會添加或更改被加密文件的擴展名。該勒索軟件會創建并執行temp.cmd,以刪除原始勒索軟件,獲取并刪除Windows事件日志。
https://www.fortinet.com/blog/threat-research/ransomware-roundup-underground
研究人員披露一個名為Cicada3301的勒索組織Cicada3301勒索組織于2024年6月29日,在網絡犯罪論壇RAMP中首次發布帖子。該勒索組織已經在其勒索網站中列出了19名受害者。與很多勒索組織類似,Cicada3301執行雙重勒索策略,他們從受害者網絡中竊取數據,然后對設備中的文件進行加密,并威脅受害者支付贖金以換取泄露的數據。研究人員發現Cicada3301和ALPHV/BlackCat之間存在重疊的惡意代碼,表明這兩個勒索組織之間可能存在關聯。Cicada3301勒索組織使用的加密程序基于Rust進行編寫,并針對Windows和Linux/VMware ESXi進行攻擊。加密文件時,加密程序會在被加密文件名后附加一個隨機的七個字符的擴展名,并創建名為“RECOVER-[extension]-DATA.txt”的勒索信。
參考鏈接:
https://www.bleepingcomputer.com/news/security/cicada3301-ransomwares-linux-encryptor-targets-vmware-esxi-systems
RansomHub勒索組織對哈里伯頓進行了網絡攻擊RansomHub勒索組織是近期對石油及天然氣服務公司哈里伯頓(Halliburton) 進行網絡攻擊的幕后黑手,此次網絡攻擊影響了該公司的IT系統和業務運營。由于相關系統被網絡攻擊所關閉,其客戶無法生成發票或采購訂單。哈里伯頓披露了這次攻擊事件,稱他們于2024年8月21日遭受了網絡攻擊。雖然哈里伯頓尚未提供有關此次攻擊的更多細節及攻擊者信息,但安全研究人員在該公司提供的IOC列表中發現了一個名為maintenance.exe的Windows可執行程序,并確認該程序是RansomHub勒索軟件加密程序。經分析,該程序相較之前的版本包含一個新的“-cmd string”命令行參數,該參數用于在加密文件之前在設備上執行命令。
參考鏈接:
https://www.bleepingcomputer.com/news/security/halliburton-cyberattack-linked-to-ransomhub-ransomware-gang
伊朗黑客以美國為目標發起勒索軟件和間諜攻擊
2024年8月28日,最新報告和聯邦咨詢警告稱,伊朗黑客近期對美國及阿聯酋的公共和私營部門發起了系列勒索軟件攻擊和網絡間諜活動。伊朗的網絡威脅組織“先鋒小貓”(Pioneer Kitten),也稱為UNC757和Rubidium等,自2017年以來已經滲透了美國學校、金融機構、醫療設施及市政府等多個組織,近期活動仍在繼續。根據聯邦調查局、網絡安全與基礎設施安全局和國防部網絡犯罪中心發布的聯合咨詢,這些攻擊者的主要目標是獲取和維持對受害網絡的技術訪問,以便進行未來的勒索軟件攻擊。
參考鏈接:
https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-241a
BlackByte勒索軟件利用VMware ESXi漏洞發起新一輪攻擊
2024年8月28日,BlackByte勒索軟件集團被發現利用最近修復的VMware ESXi安全漏洞(CVE-2024-37085)發起新一輪攻擊。該漏洞使攻擊者能夠獲得虛擬化平臺的管理員權限,進而控制虛擬機和修改服務器配置。研究人員的報告顯示,BlackByte還使用了多種易受攻擊的驅動程序來繞過安全保護,并在攻擊中部署了自我傳播的勒索加密器。該組織從2021年下半年開始活躍,歷史上以利用ProxyShell漏洞和雙重勒索策略而聞名。近期攻擊中,黑客利用有效憑據訪問受害者VPN,并通過暴力破解獲取初始訪問權限,隨后使用VMware vCenter服務器創建管理員賬戶以提升權限。
參考鏈接:
https://blog.talosintelligence.com/blackbyte-blends-tried-and-true-tradecraft-with-newly-disclosed-vulnerabilities-to-support-ongoing-attacks/
美創科技第59號安全實驗室,專注于數據安全技術領域研究,聚焦于安全防御理念、攻防技術、漏洞挖掘等專業研究,進行知識產權轉化并賦能于產品。自2021年起,累計向CNVD、CNNVD等平臺提報數千個高質量原創漏洞,并入選國家信息安全漏洞庫(CNNVD)技術支撐單位(二級)、信創政務產品安全漏洞庫支撐單位,團隊申請發明專利二十余項,發表多篇科技論文,著有《數據安全實踐指南》、《內網滲透實戰攻略》等。
浙公網安備 33010502006954號 
