英國網(wǎng)絡安全公司Sophos報告稱,上周末發(fā)現(xiàn)了一種名為MegaCortex的新菌株,導致勒索軟件攻擊激增。Sophos表示,勒索軟件似乎是針對大型企業(yè)網(wǎng)絡而設計的,這是精心策劃的目標入侵的一部分 - 這種策略被稱為“大型游戲狩獵”。作案手法并不新鮮,一直是提供勒索軟件近半年的首選方法。MegaCortex現(xiàn)在加入了一個不斷增長的勒索軟件類型列表,網(wǎng)絡犯罪組織僅在目標攻擊中使用,而不是使用垃圾郵件或其他大規(guī)模部署技術。該列表包括一些可識別的名稱,如Ryuk,Bitpaymer,Dharma,SamSam,LockerGoga和Matrix。
本月襲擊事件突然升級
根據(jù)Sophos上周五晚發(fā)布的一份報告,MegaCortex于1月下旬首次被發(fā)現(xiàn),當時有人上傳了惡意軟件掃描服務VirusTotal的樣本。
從那時起,攻擊次數(shù)一直在增加,但是上周中期,當Sophos說它發(fā)現(xiàn)了47次攻擊時,它們飆升 - 占該公司全年所見的76次MegaCortex攻擊的三分之二。
Sophos表示,它阻止了它檢測到的攻擊,這些攻擊來自位于美國,加拿大,荷蘭,愛爾蘭,意大利和法國的企業(yè)網(wǎng)絡。但是,其他攻擊可能發(fā)生在英國反病毒軟件供應商沒有覆蓋的其他地方。
RIETSPOOF感染載體?
雖然Sophos無法確切地指出MegaCortex是如何在受感染的主機上獲得的,但是一些網(wǎng)絡安全研究人員在周末發(fā)推文稱勒索軟件似乎是通過一個名為Rietspoof的惡意軟件加載程序在被攻擊的網(wǎng)絡上丟棄的。
與過去依賴的“目標勒索軟件攻擊”相比,這是一種新方法:
- 黑客組織暴力破解弱安全的RDP端點;
- 將勒索軟件作為第二階段有效載荷丟棄在先前感染了Emotet或Trickbot特洛伊木馬的工作站上。
但是盡管采用了傳送方式,MegaCortex似乎和其他“大型游戲”勒索軟件一樣危險,黑客很快就會升級他們對域控制器的訪問,他們試圖將勒索軟件部署到盡可能多的內(nèi)部工作站。可能。
由于這似乎是大多數(shù)被用于針對性攻擊的勒索軟件家族的常見做法,Sophos研究人員建議公司對內(nèi)部網(wǎng)絡采用雙因素身份驗證,尤其是中央管理服務器。
受害者可以通過添加到加密文件中的隨機八字符擴展來識別勒索軟件,還可以通過下面嵌入的贖金記錄來識別勒索軟件。