發現一系列新的勒索軟件被部署以攻擊Sonicwall SMA 100系列VPN設備。專家稱其為“五人”,該目標在整個歐洲和北美都有廣泛的目標。
根據Mandiant安全分析師的說法,攻擊背後的小組是UNC2447,它是系統中啟動數據和網絡漏洞的專家。
他們還說,這是負責部署“五人”勒索軟件的小組。它發生在二月晚些時候發布的補丁之前。
小組的操作針對Sonicwall
UNC2447對於某些系統的利用並不是什麼新鮮事物。在他們傳播勒索軟件有效載荷之前,該小組在完全控制鈷罷工植入物後正在尋找更多部署。
在Costaricto運動中,另一個稱為Sombrat Backdoor的惡意軟件參與了他臭名昭著的黑客攻擊者黑莓部落格寫。
一月份,幾次零日攻擊也觸及了Sonicwall的內部系統。在同一個月,100零日漏洞根據NCC集團,在野外變得更加可利用。
五人勒索軟件與Hellokitty勒索軟件相似
去年10月,2020年10月,UNC2447通過部署五人勒索軟件發起了野外攻擊。此外,惡意軟件與Hellokitty Ransomware共享了驚人的相似之處,這導致了延遲“ Cyberpunk 2077”1.2補丁。
所說的勒索軟件對於“ Cyberpunk”的視頻遊戲出版商CD Projekt Red來說是一個嚴重的頭痛。開發人員說,遊戲的源代碼已被黑客偷走了。
攻擊中涉及的其他遊戲是“ Witcher 3”及其未發行版本和“ Gwent”。
除Sonicwall和CD Projekt Red外,巴西大型公司的CompanhiaEnergéticade Minas Gerais也已成為黑客行動的受害者。
Mandiant更深入地研究,到一月,Hellokitty勒索軟件背後的機組人員的活動逐漸減少。但是,這只會帶來五隻手,以期持續到這些天來的剝削。
威脅分析人士說:“基於對Hellokitty和五人部署的技術和時間觀察,Mandiant懷疑Hellokitty可能從2020年5月至2020年12月從2021年1月左右的整個會員計劃使用了五隻手。”
通常被描述為相同的惡意軟件,五人和Hellokitty都具有相同的功能和編碼。今年4月初,Mandiant還發現,Hellokitty Favicon與Tor上的五人勒索軟件有關。
4月27日,星期四,易怒的計算機報導說,一場新的勒索軟件攻擊襲擊了惠斯勒度假勝地,使用TOR上的同一地點襲擊了市政當局。目前,尚未發現攻擊是否與五人相關。
與Deathmansom和Hellokitty相比,使五人特別勒索軟件的功能是其額外功能。它可以通過Windows Restart Manager操縱當前文件,然後將其密封和加密。
相關文章:發現新的中央情報局惡意軟件;網絡安全公司Kaspersky說這是在網絡流量上“間諜”
本文由技術時報擁有
約瑟夫·亨利(Joseph Henry)撰寫
