在不到一年的時間裡,一種新的勒索軟體一直在威脅企業,尤其是美國企業。它被稱為“Ryuk”,是駭客用來對網路中的戰略資源進行外科手術式攻擊的惡意軟體。這使得贖金最大化。來自以下組織的研究人員同時分析了該活動群眾罷工等火眼據估計,自 2017 年 2 月以來,盜版者已透過 52 筆交易收取了相當於 320 萬歐元的贖金,即每位受害者平均獲得約 6 萬歐元的贖金。
為了誘騙公司,這群駭客——研究人員稱之為冷酷蜘蛛– 首先使用一個已經眾所周知的特洛伊木馬,即「TrickBot」。這通常嵌入在 Excel 工作表中,該工作表本身會透過電子郵件發送給目標人員。如果使用者被該訊息欺騙並解鎖了文件的活動內容,惡意軟體就會自行安裝在系統上並聯繫駭客的命令和控制伺服器。然後後者會使用不同的技術逐步危害網路機器:密碼竊取模組、Windows遠端桌面協定連接、PowerShell後門等。
一舉兩得
此偵察階段允許駭客在進入加密階段之前識別公司的策略資源。此外,攻擊者有時會慢慢來。 Ryuk 勒索軟體可能需要幾週甚至幾個月的時間才能傳遞到機器上。為了什麼 ?一方面是因為這種手動識別需要花費大量時間,另一方面是因為駭客可能首先利用了這些存取權限“以另一種方式賺錢”,FireEye 估計。例如,敏感資料被盜。
然後,當重要的日子到來時,駭客會安裝勒索軟體並阻止所有電腦。該惡意軟體將加密系統的資料以及與其連接的所有磁碟的資料。相反,它會小心刪除在其路徑上遇到的所有保存文件,包括“影子副本» 由 Windows 製作。這是一項特別細緻的工作,其中涉及“對業務備份系統的深入了解”,預計 Crowdstrike。
琉克的幕後黑手是誰?據 Crowdstrike 稱,駭客是“可能,甚至非常可能”位於俄羅斯。事實上,勒索軟體包括「終止開關» 如果受害者被確定為俄羅斯人、白俄羅斯人或烏克蘭人,則會啟動該功能。這種行為在網路犯罪領域非常經典。這樣,海盜就可以避免鋸斷他們所坐的樹枝。此外,Crowdstrike 還發現了程式碼中的一些俄語元素,以及來自莫斯科的可疑下載。
