每周安全速递³²²|Black Basta勒索软件利用社交工程与多阶段感染流程展开攻击
发布时间:2024-12-13
阅读次数: 109 次
Black Basta勒索软件利用社交工程与多阶段感染流程展开攻击安全研究员发现Black Basta勒索软件组织(UNC4393)通过精细化的社交工程与多阶段感染流程,针对全球企业发起了一系列复杂攻击。攻击者通过电子邮件轰炸掩护,冒充IT支持人员在Microsoft Teams上与受害者接触,并诱骗其安装远程管理工具(如QuickAssist、AnyDesk)。攻击者还利用二维码技术绕过多因素认证(MFA),盗取受害者凭证后实施远程控制。攻击者在控制受害者操作系统后将部署Zbot和DarkGate等恶意工具进行凭证窃取、横向移动及数据泄露,并最终投放Black Basta勒索软件,加密关键数据以勒索赎金。与以往手法相比,新攻击进一步改进了负载投放与混淆技术,隐蔽性更强。
https://hackread.com/black-basta-gang-ms-teams-email-bombing-malware/
罗马尼亚能源供应商Electrica集团正在调查一起持续的勒索软件攻击罗马尼亚电力供应商Electrica集团遭受勒索软件攻击,公司关键系统未受影响,但由于安全协议增强,客户服务可能会暂时中断。这些措施旨在保护运营和个人数据。Electrica已启动内部应急程序,与网络安全机构合作调查攻击来源并控制其影响。能源部长确认攻击未波及电网SCADA系统,网络设备已隔离。此次事件可能与罗马尼亚总统选举因俄方干预被取消相关,情报部门报告超过85000次网络攻击针对选举系统,部分网站凭证泄露至俄罗斯网络犯罪平台。Electrica提醒客户警惕钓鱼风险,继续优先保障电力供应及数据安全。
https://securityaffairs.com/171832/hacking/electrica-group-ransomware-attack.html德勤回应Brain Cipher勒索组织声称其窃取了公司超过1TB数据的指控。该组织在暗网网站上列出了德勤英国,并威胁将在五天内公开这些数据,除非支付赎金。据德勤发言人表示,这次事件与德勤网络外部的单一客户系统有关,公司内部系统未受影响。Brain Cipher自2024年4月起活跃,曾攻击印尼数据中心,引发重大服务中断。该组织使用基于LockBit的加密软件,并窃取受害者数据,与SenSayQ和EstateRansomware组织存在联系。SenSayQ以针对教育和制造业的精准攻击闻名,而EstateRansomware则以复杂的多阶段感染流程和高效数据加密方式见长,均对全球多个行业构成严重威胁。
https://www.securityweek.com/deloitte-responds-after-ransomware-groups-claims-data-theft/
Check Point Research发布Akira勒索软件Rust版本分析报告Check Point Research深入分析了2024年初传播的Akira勒索软件Rust版本的构造及控制流,重点研究其针对ESXi服务器的独特功能。报告揭示了Rust语言惯用语法、模板代码及编译器优化如何共同作用,形成复杂的汇编结构。Akira v2是Akira勒索软件即服务(RaaS)平台的新变种,采用Rust语言开发,支持跨平台功能,特别针对ESXi服务器。Rust程序以难以逆向分析而闻名。分析显示,该恶意软件以多线程方式执行加密逻辑,核心控制流包括Main、default_action、lock及lock_closure等函数。Main函数负责解析命令行参数,default_action确定目标行为及文件,lock启动线程执行加密,最终由lock_closure完成实际加密逻辑。研究还详细分析了Rust标准库在内存中处理命令行参数的方式,揭示了程序通过跨平台抽象层(PAL)调用C语言FFI获取参数并将其转换为内存中的动态数组。
参考链接:
https://research.checkpoint.com/2024/inside-akira-ransomwares-rust-experiment/
克罗地亚最大的干货港口特许经营商——里耶卡港(Luka Rijeka d.d.)近日遭到8Base勒索软件组织的攻击。攻击者声称窃取了包括发票、收据、会计文件、个人数据、合同和保密协议在内的大量敏感信息,并在其Tor泄密网站上公布了部分详情。8Base勒索软件组织要求在2024年12月10日前支付赎金,但里耶卡港首席执行官杜什科·格拉博瓦茨(Duško Grabovac)向当地媒体表示,此次事件并未影响港口运营,公司也明确表示不会向攻击者支付赎金。此次网络攻击突显了港口作为关键基础设施在网络安全方面的脆弱性,同时也表明勒索软件团伙对基础设施和经济服务机构的攻击日益猖獗,且威胁范围不仅限于运营中断,还涉及大量敏感数据泄露。
参考链接:
https://securityaffairs.com/171779/cyber-crime/8base-ransomware-croatias-port-of-rijeka.html
由荷兰公共与私营部门合作推动的反勒索软件计划“Melissa项目”在全球范围内有效削弱了勒索软件威胁。根据莱顿大学的评估,该项目协助执行了包括Genesis Market黑市的取缔和LockBit勒索软件基础设施的查封等行动。“Melissa项目”由荷兰网络安全中心和Cybersafe Netherlands联合安全企业于2023年启动,旨在通过信息共享推动犯罪中断与起诉。项目还帮助获取了超过150个Deadbolt勒索软件的解密密钥。评估报告指出,该项目的成功在于其“清晰的目标与有限的范围”。项目成员每六周定期会议讨论黑客策略,有效拉近了网络安全机构与私营企业间的合作。参与公司包括荷兰ESET和德勤。尽管项目取得重大成就,但其法律框架对数据共享的限制被视为信息交流的潜在障碍。报告建议在保持勒索软件聚焦的前提下,吸纳更多网络安全专家参与研究,以增强项目的效能。
参考链接:
https://www.govinfosecurity.com/dutch-counter-ransomware-initiative-led-to-global-takedowns-a-26994Termite勒索软件袭击供应链平台Blue Yonder供应链管理平台Blue Yonder及其客户近日遭遇了由新型勒索软件“Termite”发起的攻击。研究显示,“Termite”是臭名昭著的Babuk勒索软件的重命名版本。Cyble研究与情报实验室(CRIL)分析了Termite的样本,并指出该勒索软件已经在其泄露网站上列出七个受害者。技术分析表明,Termite在运行后调用SetProcessShutdownParameters(0, 0) API,以确保其进程在系统关机时最晚被终止,从而获得足够的时间完成加密操作。随后,它利用OpenSCManagerA() API连接至服务控制管理器数据库,获取对系统服务的控制权,并终止特定服务以避免加密过程被中断。这些服务包括veeam、vmms和memtas等。Termite的攻击活动再次警示企业强化网络安全防护措施,特别是在服务管理与供应链平台方面。
https://cyble.com/blog/technical-look-at-termite-ransomware-blue-yonder/
浙公网安备 33010502006954号 
