据外媒报道,英国国家网络安全中心(NCSC)发布了关于Ryuk勒索软件攻击的警报,该勒索软件与Emotet和TrickBot恶意软件共同发动攻击。
研究人员发现,Ryuk勒索病毒与Emotet和TrickBot一同出现在不同的组织网络中。
Ryuk勒索软件最初于2018年8月被发现,它感染并危害不同组织,获益数百万美元。Emotet是著名的恶意软件,被其他木马病毒用作初期感染的dropper,受害者遍布世界各地。Trickbot是一种银行恶意软件,它窃取应用程序的登录凭证。自从被发现以来,黑客不断地向Trickbot中添加新功能。
勒索软件在其攻击链中使用了TrickBot和Emotet恶意软件,目标是大型组织,以获取高额赎金。据称,勒索软件由专业的黑客组织GRIMSPIDER操作。
Ryuk勒索软件使用Emotet进行初始阶段的感染,并检查受害者的机器是否容易感染。Trickbot随后部署了额外的开发后工具来支持操作,其中有Mimikatz和PowerShell Empire模块。
Post利用模块收集凭据、远程监视工作站,从而感染同一网络中的其他系统。感染Emotet的机器定期检查来自命令和控制服务器(C2)的模块,这些模块通常是DLL或EXE,加载在受感染的系统上以扩展功能。
所有非执行文件在感染过程结束时加密,并显示勒索软件提示,要求用比特币支付赎金。Ryuk病毒是一种持续性感染病毒。恶意软件的安装程序会停止某些杀毒软件,并根据系统安装相应版本的Ryuk。
根据NCSC的说法,Ryuk勒索软件本身没有在网络中横向移动的能力,因此依赖于初次感染访问,它可枚举共享网络并加密它可以访问的共享网络。此外,勒索软件使用的反取证技术,使备份恢复变得更为困难。
声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
