手机版
你好,游客 登录 注册
背景:
阅读新闻

新的Ryuk勒索软件以大公司为目标,在5个月内获利近400万美元

[日期:2019-01-14] 来源:Linux公社  作者:醉落红尘 [字体: ]

根据CrowdStrike 和 FireEye的报告,自去年8月以来,一款新的Ryuk赎金软件通过在之前被感染的目标上安装恶意加密软件,已经赚了将近400万美元。研究人员发现,这种勒索软件有选择地为最初被感染且经济实力强的目标植入恶意加密软件。这与用勒索软件感染所有可能的受害者的共同策略不同。

FireEye报告称,“此活动主要分布在美国各组织,以及政府,金融服务,制造业,服务提供商和高科技等多个行业。一旦受害者打开附件并启用了宏,它就会从远程服务器下载并执行TrickBot恶意软件的实例。“

相比之下,小型企业在感染Trickbot后很少遭到Ryuk的攻击。 CrowdStrike表示,这种方法是“大狩猎”,自去年8月以来,其运营商已经在52笔交易中赢得了370万美元的比特币。

CrowdStrike研究员Alexander Hanel写道:

TrickBot的一些模块(例如pwgrab)可以帮助恢复破坏环境所需的凭证 - 特别是SOCKS模块已被观察到隧道化PowerShell Empire流量以执行侦察和横向移动。通过CrowdStrike IR活动,观察到GRIM SPIDER在受害者网络上执行以下事件,最终目标是推出Ryuk二进制文件:

  • 执行模糊的PowerShell脚本并连接到远程IP地址。
  • 在受感染的主机上下载并执行反向shell。
  • PowerShell防日志脚本在主机上执行。
  • 使用标准Windows命令行工具以及外部上载工具进行网络的侦察。
  • 使用远程桌面协议(RDP)启用整个网络的横向移动。
  • 创建服务用户帐户。
  • PowerShell Empire已下载并作为服务安装。
  • 继续横向移动,直到恢复特权以获得对域控制器的访问。
  • PSEXEC用于将Ryuk二进制文件推送到单个主机。
  • 执行批处理脚本以终止进程/服务并删除备份,然后执行Ryuk二进制文件。

Linux公社的RSS地址https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址https://www.linuxidc.com/Linux/2019-01/156353.htm

linux
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款