发现一系列新的勒索软件被部署以攻击Sonicwall SMA 100系列VPN设备。专家称其为“五人”,该目标在整个欧洲和北美都有广泛的目标。
根据Mandiant安全分析师的说法,攻击背后的小组是UNC2447,它是系统中启动数据和网络漏洞的专家。
他们还说,这是负责部署“五人”勒索软件的小组。它发生在二月晚些时候发布的补丁之前。
小组的操作针对Sonicwall
UNC2447对于某些系统的利用并不是什么新鲜事物。在他们传播勒索软件有效载荷之前,该小组在完全控制钴罢工植入物后正在寻找更多部署。
在Costaricto运动中,另一个称为Sombrat Backdoor的恶意软件参与了他臭名昭著的黑客攻击者黑莓博客写。
一月份,几次零日攻击也触及了Sonicwall的内部系统。在同一个月,100零日漏洞根据NCC集团,在野外变得更加可利用。
五人勒索软件与Hellokitty勒索软件相似
去年10月,2020年10月,UNC2447通过部署五人勒索软件发起了野外攻击。此外,恶意软件与Hellokitty Ransomware共享了惊人的相似之处,这导致了延迟“ Cyberpunk 2077”1.2补丁。
所说的勒索软件对于“ Cyberpunk”的视频游戏出版商CD Projekt Red来说是一个严重的头痛。开发人员说,游戏的源代码已被黑客偷走了。
攻击中涉及的其他游戏是“ Witcher 3”及其未发行版本和“ Gwent”。
除Sonicwall和CD Projekt Red外,巴西大型公司的CompanhiaEnergéticade Minas Gerais也已成为黑客行动的受害者。
Mandiant更深入地研究,到一月,Hellokitty勒索软件背后的机组人员的活动逐渐减少。但是,这只会带来五只手,以期持续到这些天来的剥削。
威胁分析人士说:“基于对Hellokitty和五人部署的技术和时间观察,Mandiant怀疑Hellokitty可能从2020年5月至2020年12月从2021年1月左右的整个会员计划使用了五只手。”
通常被描述为相同的恶意软件,五人和Hellokitty都具有相同的功能和编码。今年4月初,Mandiant还发现,Hellokitty Favicon与Tor上的五人勒索软件有关。
4月27日,星期四,易怒的计算机报道说,一场新的勒索软件攻击袭击了惠斯勒度假胜地,使用TOR上的同一地点袭击了市政当局。目前,尚未发现攻击是否与五人相关。
与Deathmansom和Hellokitty相比,使五人特别勒索软件的功能是其额外功能。它可以通过Windows Restart Manager操纵当前文件,然后将其密封和加密。
相关文章:发现新的中央情报局恶意软件;网络安全公司Kaspersky说这是在网络流量上“间谍”
本文由技术时报拥有
约瑟夫·亨利(Joseph Henry)撰写
