美國司法部正式起訴中國國家級駭客組織APT 41中的五名成員! 指控APT41入侵了全球高達100多家企業!

美國司法部9月16日宣布起訴隸屬於APT 41(或稱Winnti)駭客組織的五名中國駭客,美國指控APT 41精心策劃了對全球100多家公司的入侵,其中包括對軟體供應商,電遊公司,電訊公司等等。

美國資安公司FireEye曾在一份報告中將APT41視為「近年來中國網路間諜最廣泛活動之一」,也表示APT 41主要是替中國政府滲透全球科技、通訊和醫療保健機構等,也會為個人利益而利用勒索軟體鎖定電遊公司及攻擊加密貨幣商。APT 41小組是當今最臭名昭著,最活躍的國家資助的駭客組織之一,FireEye的報告發布後,2019年8月有兩名APT 41成員(張浩然和譚戴林)被美國司法部起訴,這是他們的起訴書:

上月2020年8月,其他三名APT 41成員(蔣立志,錢川,付強)也被起訴,美國指控這三名駭客對多家公司的入侵,據稱他們在一間由中國官員密切監督下運作的前台公司“成都404網路技術"工作,這是他們的起訴書:

根據CrowdStrike的首席技術官兼聯合創辦人Dmitri Alperovitch透露,美國官員攔截了一些線上聊天, APT 41成員蔣立志吹噓與中國國家安全部的密切聯繫以及只要他們不攻擊中國,所享有的保護。

除這5名中國駭客外,美國司法部今天也同樣起訴另外2名馬來西亞商人,他們涉及與其中2名中國駭客共謀入侵遊戲公司網路竊取資料並試圖在暗網出售,這是他們的起訴書:

據相信Seagm是他們經營的網站,是一個出售遊戲貨幣的網站。他們同時讓APT 41非法利用, 達取竊取資料的目的。

本月初,聯邦調查局(FBI) 獲得了法院令,扣押了APT 41在過去的行動中使用過的基礎設施,數百個帳戶,伺服器,域名,C2和失效網頁等。

最新APT 41入侵全球的相關情資, 就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5f62318a419e133716eca72d

*****竣盟科技快報歡迎轉載,但請註明出處

今年Top 10的資安項目-Gartner 2020十大資安項目,要如何解讀呢? 快看下去!

根據Gartner的預測,資安業者應將重點放在這10個安全項目上,以提高業務價值並降低業務風險,今年的Top 10安全項目有8個新項目,並根據COVID-19疫情的影響進行了調整,重點關注風險管理和了解流程故障。

第一項:保護遠端工作力Securing Your Remote Workforce

關注業務需求並了解用戶如何訪問數據和應用程式。疫情讓遠端辦公變成常態,通過Zero Trust Network Access(ZTNA)來保障遠辦工安全。Gartner認為採用ZTNA會驅動VPN的替代。

第二項:基於風險的漏洞管理Risk-based Vulnerability Management

Gartner認為應採用基於風險的方法來管理修補漏洞程式,重點關注具有較高風險的系統和漏洞,專注於實際可利用的漏洞。不僅可以對威脅進行大量評估,還可以使用威脅情報,攻擊者活動和內部資產關鍵程度來更好地了解實際組織風險。 

第3項:擴展偵測及回應(XDR)Extended Detection and Response

XDR是一個安全事件回應平台,可收集和關聯來自多個專有組件的數據,把眾多安全設備檢測數據集中,包括EDR、SWG、CASB、IAM、DLP、NGFW等。平台級整合發生在部署時,而不是在以後添加。數據正規化後,形成數據湖,分析數據相關性,最後通過事件回應、自動化、工作流和APIs實現回應。總結一下就是拓展檢測數據源,提升數據分析能力,最後落實到自動化回應上。

第4項:雲端安全狀況管理Cloud Security Posture Management

組織需要確保跨IaaS和PaaS的通用控制,並支持自動化評估和補救。是對基礎設施安全配置進行分析與管理。雲端應用程序非常動態,需要自動的DevSecOps風格的安全性。

第5項:簡化雲端訪問控制Simplify Cloud Access Controls

雲訪問控制通常是通過CASB完成的,可提供策略實施和主動阻止功能的串聯代理提供實時實施。企業能在多個雲端服務中實現中心化策略和治理對於用戶、設備、用戶活動和敏感數據的可見性。

第6項:(基於網域的郵件身分驗證、報告和一致性)身分驗證DMARC -Domain-based Message Authentication,Reporting & Conformance

DMARC提供一種機制讓發件和收件相方可以確認對方身分,目標是電郵轉發伺服器 Sending Mail Server 和電郵收件伺服器 Receiving Mail Server 互相配合減少冒充者成功機會,DMARC並不是針對電子郵件安全的整體解決方案,應該是整體安全方法的一部分。

第7項:無密碼身份驗證Passwordless Authentication

完全消除密碼目前看來還不太可能,但減少對密碼的依賴是可行的,可以增加信任度並改善用戶體驗。

第8項:數據分類和保護Data classification and protection

由於數據都不相同,千篇一律的安全性方法將會建立太多安全性區域,而其他領域又太少,這會增加組織的風險。從策略和定義開始,以使其正常運作,然後再開始應用安全技術。

第九項:勞動力能力評估Workforce Competencies Assessment

數字化商業要求我們有合適的人在正確的崗位上扮演正確的角色,擁有正確的技能和能力。在沒有完美的人選,您可以為每個項目確定有五到六個必備能力來評估,看來資安人才缺口是全球性問題

第10項:自動化資安風險評估 Automating Security Risk Assessments

這是幫助資安團隊了解與操作,新項目或計劃相關風險的一種方法。風險評估往往被完全跳過或在有限的基礎上進行。這些評估將允許有限的風險自動化和對存在風險缺口的位置的可見性。 

*****竣盟科技快報歡迎轉載,但請註明出處

NetWalker的最新受害者–全球領先數據中心(Data Center)供應商巨擘Equinix透露遭駭,外媒爆料Equinix被勒索450萬美元!!!

數據中心巨擘Equinix營運且維護Amazon、Microsoft、Google、阿里巴巴等公有雲廠商,在昨天Equinix發佈了聲明,披露了資安事件,確認勒索軟體入侵其了內部系統,但同時表示不影響數據中心。“我們的數據中心和我們的服務產品(包括託管服務)仍然可以正常運作,該事件並未影響我們支援客戶的能力。”

根據BleepingComputer,Equinix得到的勒索信如下方截圖:

勒索信大約內容:“請查看此截圖https://prnt.sc/ [被編輯並模糊化]

如果您不與我們聯繫,我們會將您的數據公開發布。您可以在[被編輯並模糊化]的部落格上進行查看,您有3天的時間與我們聯繫,不然我們將在我們的部落格中發布帖文,或與所有可能的新聞站點聯繫,並將數據洩露給他們“

勒索信還包括Netwalker 的Tor付款站點的連結,NetWalker要求450萬美元的贖金(455比特幣)。如果Equinix不及時付款,贖金將增加一倍。

根據外媒得到Equinix被盜數據的屏幕截圖,顯示了來自被感染系統的檔案夾,這些檔案夾據稱包含公司數據,財務資料和數據中心報告。

檔案夾名稱包含了在澳洲的數據中心和工程師的檔案夾名稱,意味著其澳洲子公司可能受到威脅。

另外,根據Advanced Intel的Andariel智能平台的數據,有74個已知的Equinix遠端桌面(RDP) 伺服器及其登錄憑證在暗網和私下被出售。暴露的遠端桌面伺服器是駭客用來破壞網路最常用的入侵方法。

在這74台遠端桌面伺服器中,大多數集中在澳洲,土耳其和巴西。

Netwalker勒索軟體駭客組織在此期間非常活躍,幾天前它們入侵了巴基斯坦主要電力供應商K-Electric阿根廷官方移民局DirecciónNacional de Migraciones。另外,該駭客組織的另一個受害者是加州大學舊金山分校(UCSF),在6月底UCSF承認支付駭客114萬美元的贖金以恢復其被加密的數據。

 在7月美國FBI發布了有關Netwalker勒索軟體攻擊針對美國和外國政府組織的的安全警報。

最新的 NetWalker 勒索軟體的情資, 就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5f4d4e6034a4e01f2a0961ff

https://otx.alienvault.com/pulse/5edfd2ca2146e0ec9fd72499

*****竣盟科技快報歡迎轉載,但請註明出處。

巴基斯坦最大的私人電力公司K-Electric,遭NetWalker勒索軟體加密,勒索385萬美元!

巴基斯坦卡拉奇(Karachi, Pakistan)唯一電力供應商K-Electric的網站被NetWalker勒索軟體入侵,目前仍然無法還原。

K-Electric電力公司向巴基斯坦最大的城市和經濟中心卡拉奇供應電力,該市約有2,000萬人口。K-Electric擁有250萬客戶和1.1萬名員工。根據外媒報導,K-Electric電力公司的計費系統遭到攻擊並無法正常運行,同時它們也暫時無法向其消費者開出電費單。據了解於9月7日上午,駭客攻擊了K-Electric的IT系統,並暫停了K-Electric的內部與銀行的通信,但不影響其電力供應。

K-Electric發言人說,其公司已向有關當局通報 。據發言人稱,駭客要求K-Electric通過暗網與他們聯繫。據相信此攻擊為NetWalker勒索軟體的背後駭客所為,據外媒 BleepingComputer取得Netwalker在Tor站點的付款頁面中,NetWalker要求K-Electric支付385萬美元的贖金。如果再過7天仍未支付贖金,贖金將增加到770萬美元。

Tor付款站點還包括一個“被盜數據”頁面,該頁面顯示NetWalker的背後駭客在進行攻擊之前從K-Electric竊取了未加密的文件。如下圖所示:

電力供應商為關鍵的基礎建設, 易成為駭客的攻擊對象。在這之前,2020 年 6 月 20 日Maze勒索軟體的背後駭客入侵泰國電力公司Provincial Electricity Authority(PEA),據了解由於PEA沒有跟Maze勒索軟體背後的駭客達成圓滿談判, Maze已於暗網上釋出他們從PEA竊取得來的84GB的數據。

McAfee的報告,指出在2020年3月1日至2020年7月27日期間,NetWalker在短短五個月內就成功勒索了2500萬美元。

如果您不熟悉NetWalker的情資和策略,則會使您的組織面臨風險。

最新的 NetWalker 勒索軟體的情資, 就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5f4d4e6034a4e01f2a0961ff

https://otx.alienvault.com/pulse/5edfd2ca2146e0ec9fd72499

*****竣盟科技快報歡迎轉載,但請註明出處。

法國,日本和紐西蘭的Cert 警告,Emotet攻擊大量激增!!

法國日本紐西蘭的CERT在過去一周中發布了資安警報,警告針對其國家的Emotet惡意軟體攻擊大幅度上升。

Emotet惡意電子郵件垃圾郵件活動,針對這三個國家的企業和政府基礎架構。只要受害者組織在收到該惡意電子郵件後,然後打開附件檔案就會受到該惡意感染。Emotet是一種能夠自我傳播的先進模組化木馬程式,最初是一種銀行木馬,近期被做為其他惡意軟體或惡意攻擊的傳播途徑。它可以使用多種方法和逃脫技術來確保持久性並逃避偵測。此外,它還可以透過含有惡意附件或連結的網路釣魚垃圾郵件進行傳播。

來自Cryptolaemus的資安研究人員Joseph Roosen表示, Emotet殭屍網路在最近幾個星期,在這三個國家尤其活躍,Emotet的背後駭客組織透過E3(構成大型Emotet基礎架構的三個微型殭屍網路之一) 向紐西蘭作為目標發出的惡意電子郵件。當E3忙於向紐西蘭發送垃圾郵件時,Roosen說E1和E2則瞄準了日本。據日本CERT稱,這些Emotet垃圾郵件數量在上週增長了兩倍,使日本專家們發出了資安警報。

日本受Emotet感染的個案持續增加,就像附圖所見,來源自JPCERT

另外Emotet針對法國,Emotet感染了巴黎法院網路系統上的電腦,成為頭條新聞,引起法國官員發出緊急狀態,法國內政部的反應是阻止所有Office文件(.doc)通過電子郵件發送,法國網路安全機構ANSSI隨後在周一發布了官方網路資安警報,敦促政府機構注意他們打開的電子郵件。

最新的Emotet情資, 就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5f4d42ac67920e64f5ed30c5

Source: https://www.zdnet.com/article/france-japan-new-zealand-warn-of-sudden-spike-in-emotet-attacks/

#Emotet惡意軟體

#Emotet殭屍網路

#竣盟科技

#情資才是王道

*****竣盟科技快報歡迎轉載,但請註明出處

爆出勒索軟體入侵導致阿根廷移民局網路系統關閉, 該國出入境被迫停止4 小時服務

阿根廷國家移民局遭到NetWalker勒索軟體攻擊被要求支付362萬美元的比特幣贖金, 根據外媒報導,阿根廷網路犯罪局公佈的一份刑事起訴書,說明在8月27日上午7點左右,移民局的總資訊局和技術局接到了來自各個檢查站的許多電話,要求提供技術支援。網路犯罪局稱由於意識到這不是一般情況,因此評估了中央數據中心和分散式伺服器的基礎結構,並注意到一種惡意軟體的活動已經影響了基於MS Windows的系統檔案(主要是ADAD SYSVOL和SYSTEM CENTER DPM)以及用戶工作和共享文件夾中存在的Microsoft Office檔案(Word和Excel)為了防止勒索軟體感染其他設備,移民局和檢查站使用的電腦網路被關閉。據阿根廷新聞網站Infobae稱,這導致邊境的出入境服務暫停了四個小時。

阿根廷移民局表示:在國際過境運作的出入境系統尤其受到影響,這導致進入和離開國土的工作受到延誤。”

當Netwalker勒索軟體進行攻擊時,駭客已將勒索信留在加密的設備上。勒索信包含引導到暗網上支付網站的連結,該網站包含有關如何購買解密器,贖金金額以及有關在攻擊過程中被盜的任何未加密文件的資訊。

據外媒 BleepingComputer取得的Netwalker Tor付款頁面中,了解到駭客最初要求200萬美元的贖金。經過7天后,贖金增加到400萬美元,約355個比特幣,Tor網站還包括一個“被盜數據”頁面,該頁面顯示了此攻擊期間從“ Migraciones Argentina阿根廷移民局"盜取到的數據。

由於移民局拒絕與攻擊者進行談判,並聲稱沒有任何敏感的,或個人的公司的資訊受到破壞,他們不會太在意取回這些數據。

最新的 NetWalker 勒索軟體情資, 就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5f4d4e6034a4e01f2a0961ff

Source: https://www.bleepingcomputer.com/news/security/ransomware-attack-halts-argentinian-border-crossing-for-four-hours/

*****竣盟科技快報歡迎轉載,但請註明出處

美國FBI的Flash Alert警報,針對美國公司發佈關於神秘的駭客組織發動廣泛性的DDoS攻擊並勒索比特幣

FBI於上週發佈了的MU-000132-DD Flash Alert警報,通知並警告美國當地的公司, 全球許多組織已遭受到一群自稱”Fancy Bear”的駭客組織發動勒索性的DDoS攻擊, FBI在警報中並沒有透露駭客組織針對性的地區, 然而表示駭客是瞄準零售,金融, 旅遊, 電商的行業。

自今年8月12日始, 發現攻擊者冒充知名駭客組織“Fancy Bear, Cozy Bear, Lazarus Group和Armada Colletive”在發動了大規模且具勒索性的DDos(RDDos 或RDos)攻擊後, 向受害公司發出勒索信。

根據以色列資安公司Radware,遭攻擊的受害公司來北美, 自亞太區,和歐洲中東非洲地區(EMEA) , 該資安公司表示, 駭客組織要求受害公司支付的贖金範圍為10 比特幣(約113,000美元)至20比特幣(約226,000美元), 勒索信中表示如果公司未能拿出錢支付贖金,DDoS攻擊將上升到2Tbps,一旦攻擊開始,錯過付贖金的最後期限,贖金費用將以每10 比特幣遞增。

另外FBI表示,受到RDoS攻擊的多個組織在收到勒索信後報告了受到小型攻的擊,但在大多數情況下,在為期六天的期限到期後,駭客並未再進行DDoS活動。然而一些組織確實報告說,其運營受到無法緩解的攻擊的影響。

FBI建議美國公司使用DDoS防護服務,以在網路受到影響之前自動識別並阻止此類攻擊。

還建議他們與Internet服務提供商合作,以便在發生DDoS攻擊時能輕鬆地監視和阻止網路流量。

另一外媒ZDNet揭露了,歐洲有十多家互聯網服務提供商(ISP)報告了針對他們DNS的基礎結構的DDoS攻擊,在過去一周遭受攻擊的ISP列表包括比利時的 EDP,法國的 BouyguesTélécom,FDN,K-net,SFR,以及荷蘭的Caiway,Delta,FreedomNet,Online.nl,Signet和Tweak.nl。

*****竣盟科技快報歡迎轉載,但請註明出處

Sources:
https://www.documentcloud.org/documents/7070798-FLASH-MU-000132-DD.html
https://www.zdnet.com/article/european-isps-report-mysterious-wave-of-ddos-attacks/

您絕對不能錯過的 – NetWalker 勒索軟體如何在一小時內攻陷系統! 內含最新的 NetWalker 情資和 Mitre Attack 攻擊手法!!

由 The DFIR Report 發佈的”NetWalker Ransomware in 1 Hour”, 報告了 NetWalker 勒索軟體背後的駭客, 整個入侵過程只需約 1 個小時! !  

駭客組織透過 RDP 登錄,嘗試運行 Cobalt Strike Beacon,然後使用 ProcDump 和 Mimikatz 進行記憶體傾印。接下來,他們將 RDP 放在網域控制站前, 駭客會使用 PsExec 在所有加入網域的系統上散播並運行 NetWalker 勒索軟體的有效 payload 。

以下為研究人員針對 NetWalker 勒索軟體的攻擊過程發佈的時間軸:

研究員在攻擊發生時,看到了多個 RDP 登錄,並相信入侵的來源為 198.181.163[.] 103,這可能是 IPVanish 的 VPN。駭客使用 DomainName \ Administrator 帳戶登錄,並迅速放進了c37.ps1 和 c37.exe。而在初始登錄後,c37.ps1 隨即被放入並執行約16分鐘,但它並沒有造成網路流量,這使得研究員懷疑它到底有沒有動作。

這個 Script 看起來像 Virus Total 上分析得到的 Cobalt Strike, 也可能還包含 Windshield 或 SplinterRAT。不過即使經過了 7 天以上,c37.ps1 檢測到惡意的比例也相當低。

再過了幾分鐘,c37.exe 被執行了,它將自身複製到臨時目錄,然後停止。此二進制文件包括 Neshta 以及許多功能,如下所示:

然後 AdFind 與名為 adf.bat 的 script 一同被置入。

從這些 lnk 文件中我們可以看到,它們打開了AdFind 輸出的一些 txt 文件。我們還可以看到 domains.txt 和 ips.log 是在 AdFind 運行幾分鐘後建立的。

運行 AdFind 幾分鐘後,將打開命令列提示,並 Copy & Paste 以下命令或手動 key 入以下命令:

nltest /dclist:

net group “Domain Computers” /DOMAIN

net groups “Enterprise Admins” /domain

net user Administrator

再放入並執行了一個名為 pcr.bat 的 Script

然後再 ping 主機名稱列表, 並將輸出寫入 ips.log, 他們強制使用 IPv4 的參數發送 ping 指令。此 domains.txt 文件很可能來自上述使用 domainlist 參數的 AdFind 命令。

在置入 Mimikatz 的一分鐘後置入 procdump64.exe。然後駭客使用 Procdump 命令來傾印 lsass:

procdump64.exe -ma lsass.exe lsass.dmp

Mimikatz 在大約一分鐘後運行並進行橫向擴充

駭客在傾印憑證後以 RDP 進入網域控制器(DC)。透過 RDP 訪問 DC 後,然後置入了 ip.list.txt,P100119.ps1 和 PsExec。

至此駭客已準備好執行他的目標,他使用 PsExec 以網域管理員的身份在所有系統上掛載共享資料匣,然後使用 PowerShell 執行勒索軟體的 payload。透過以下命令將 NetWalker 佈署到蜜罐中所有連上網路並已加入網域的系統:

C:\psexec.exe @ip-list.txt -d cmd /c “(net use q: /delete /y &; net use q: \\DomainController\DomainName /user:DomainName\administrator ThisWasThePassword &; powershell -ExecutionPolicy ByPass -NoLogo -NoProfile -windowstyle hidden -NoExit -File q:\P100119.ps1”

在 PowerShell 腳本執行後,受害者會獲得以下勒索信:

最新的 NetWalker 勒索軟體情資, 就在竣盟科技代理的 AlienVault OTX 情資平台上: 

https://otx.alienvault.com/pulse/5f4d4e6034a4e01f2a0961ff

Source:

紐西蘭證券交易所NZX, 連續遭受DDoS攻擊,導致持續4天停止交易, 今也傳出維也納證券交易所, 同樣受到攻擊!

重點:

*在本週稍早經歷了多次網路攻擊,截至本週五紐西蘭的證券交易所已經持續四天暫停交易。

*NZX表示,它在本週二及週三透過其網路服務供應商,遭受了來自海外的 DDoS 分散式阻斷服務攻擊。

* 消息人士還稱該發動攻擊的組織具有“高於平均水平”的DDoS技能

* 駭客組織反複地針對證券交易所的託管服務供應商 Spark,這也導致該供應商的其他客戶服務中斷。

在本周初遭受多次網路攻擊後,今天(週五)紐西蘭證券交易 NZX 連續第四天停止交易。

路透社報導,儘管紐西蘭交易所早些時候表示,在採取使系統連線暢通的措施之後,聯交所將會重新開放,但 NZX 首頁,NZX 債券市場和 Fonterra 股東市場均仍處於暫停交易的狀態。

截至台灣時間上午8:27,NZX 的網站仍然無法訪問。

紐西蘭證券交易所在一份聲明中說,首頁和 Fonterra 股東市場週五的開盤時間延長,當地時間上午10:32左右,它們從開盤前直接停牌。據報導,NZX 債務市場也於當地時間上午9:58暫停交易。

昨天,《New Zealand Herald》報導了在反複的網路攻擊導致再度暫停股票交易之後,NZX 及其網路提供商 Spark 商議如何與未知的敵人進行對抗。

據悉,NZX 已將其網域 nzx.com 移至跨國內容傳遞網路大廠 Akamai Technologies。該交易所的網站仍由惠靈頓的 Red Shield 運營的內容傳遞網路提供服務。

資安評論員 Catalin Cimpanu 說,資安業的消息人士告訴他,一群“ DDoS勒索者”是對 NZX 攻擊的幕後黑手。

該組織要求用比特幣支付贖金以解除其攻擊,據說該組織模仿了一個有時被稱為“Armada Collective and Fancy Bear”的俄羅斯組織。據說該組織本週還對匯款服務 MoneyGram,印度 Yes Bank,PayPal,Braintree 和 Venmo 發動攻擊。

另外在本週一(8月24日)發布的更新報告的中,Akamai Technologies 證實,該組織發起了複雜的 DDoS 攻擊,在某些情況下,高峰值攻擊速度接近每秒 200 Gb 。

資安評論員 Catalin Cimpanu 也透露, 有跡象顯示該組織把目標轉向維也納證券交易所(Vienna Stock Exchange), 維也納證券交易所的網站也一度無法進入, 如附圖 

最後, NZX 和 Spark 拒絕透露是否涉及勒索。

*****竣盟科技快報歡迎轉載,但請註明出處.

Maze Cartel 迷宮勒索聯盟又添一員,一個名為SunCrypt的新型勒索軟體

Maze Cartel 迷宮勒索聯盟又添一員,一個名為SunCrypt的新型勒索軟體

在6月時Maze勒索軟體的背後駭客, 建立了一個名Maze Cartel的敲詐勒索聯盟, 由Maze作為首腦,該聯盟成員包括Lockbit 和Ragnar Locker, 現增加新成員SunCrypt。該敲詐勒索聯盟旨在共享受害者資料, 勒索手法, 技術資訊, 幫助彼此進一步的勒索受害公司。

SunCrypt的背後駭客向外媒BleepingComputer透露其加盟的原因, 據報是因為Maze乏身處理大量的行動,需要更多的支援。SunCrypt補充說:”我們的專長正是發動勒索攻擊。”

SunCrypt進一步透露,如果勒索行動成功, 他們也能分到贖金, 但並未分享有關如何拆分贖金。

以下提供由資安人員Vitali Kremez分享的SunCrypt勒索軟體在PowerShell上的執行

也附上SunCrypt的勒索信樣本和在virus total分析的樣本,供您參考

由於SunCrypt屬新型勒索軟體, 其揭秘網站上目前只列出五名受害者。

竣盟科技建議針對勒索軟體的應對措施:

*由於您的所有文件都是使用軍用級加密算法進行加密的,而且密鑰在犯罪者手上,因此基於原始數據復原(指解密),這是個無解的困境。

*向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後,對方有可能會就此停止聯繫,甚至解密器可能無法工作,或其本身帶來了更多威脅。

*千萬不要使用號稱功能強大的反惡意軟體,這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後,您可能失去的更多。

*針對勒索病毒的危害,正確的應對措施是平日的多重備份機制與定時的還原演練。

*除了基本的防火牆外,還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護,以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。

*佈署威脅偵測機制,如 SIEM、HIDS、封包檢測及進階誘捕系統等產品,可以早期發現,並防止威脅擴散。

對於重要的交易系統,可以佈署執行程序限制方案,防止惡意程式的執行。

*透過教育訓練與各種攻擊演練,加強終端用戶的資安防護意識。

*****竣盟科技快報歡迎轉載,但請註明出處