不到一年的时间里,一种新的勒索软件一直在威胁企业,尤其是美国企业。它被称为“Ryuk”,是黑客用来对网络中的战略资源进行外科手术式攻击的恶意软件。这使得赎金最大化。来自以下组织的研究人员同时分析了该活动群众罢工等火眼据估计,自 2017 年 2 月以来,盗版者已通过 52 笔交易收取了相当于 320 万欧元的赎金,即每位受害者平均获得约 6 万欧元的赎金。
为了诱骗公司,这群黑客——研究人员称之为冷酷蜘蛛– 首先使用一个已经众所周知的特洛伊木马,即“TrickBot”。这通常嵌入在 Excel 工作表中,该工作表本身通过电子邮件发送给目标人员。如果用户被该消息欺骗并解锁了文档的活动内容,恶意软件就会自行安装在系统上并联系黑客的命令和控制服务器。然后后者会使用不同的技术逐步危害网络机器:密码盗窃模块、Windows远程桌面协议连接、PowerShell后门等。
一举两得
此侦察阶段允许黑客在进入加密阶段之前识别公司的战略资源。此外,攻击者有时会慢慢来。 Ryuk 勒索软件可能需要几周甚至几个月的时间才能传递到机器上。为了什么 ?一方面是因为这种手动识别需要花费大量时间,另一方面是因为黑客可能首先利用了这些访问权限“以另一种方式赚钱”,FireEye 估计。例如,敏感数据被盗。
然后,当重要的日子到来时,黑客会安装勒索软件并阻止所有计算机。该恶意软件将加密系统的数据以及与其连接的所有磁盘的数据。相反,它会小心删除在其路径上遇到的所有保存文件,包括“影子副本» 由 Windows 制作。这是一项特别细致的工作,其中涉及“对业务备份系统的深入了解”,预计 Crowdstrike。
琉克的幕后黑手是谁?据 Crowdstrike 称,黑客是“可能,甚至非常可能”位于俄罗斯。事实上,勒索软件包括“终止开关» 如果受害者被确定为俄罗斯人、白俄罗斯人或乌克兰人,则会激活该功能。这种行为在网络犯罪领域非常经典。这样,海盗就可以避免锯断他们所坐的树枝。此外,Crowdstrike 还发现了代码中的一些俄语元素,以及来自莫斯科的可疑下载。
