发布于2022年10月18日3年前 10 月 11 日,一项新的勒索软件活动针对乌克兰和波兰的运输和物流部门,其有效载荷名为Prestige ,此前未知。 微软威胁情报中心 (MSTIC)表示: “该活动与最近与俄罗斯国家相关的活动,特别是在受影响的地区和国家,具有相同的受害者特征,并且与FoxBlade恶意软件(也称为 HermeticWiper)的先前受害者重叠。 ” 这家科技巨头指出,所有受害者的入侵发生在一小时内,并将感染归因于一个名为 DEV-0960 的未命名集群。它没有透露攻击的规模,但表示正在通知所有受影响的客户。 该活动还被认为与最近涉及使用HermeticWiper和CaddyWiper的其他破坏性攻击不同,后者由名为ArguePatch(又名 AprilAxe)的恶意软件加载程序发起。 初始访问的方法仍然未知,微软指出威胁参与者已经获得了对受感染环境的特权访问,以使用三种不同的方法部署勒索软件。 在一项相关的开发中,Fortinet FortiGuard 实验室揭开了一个多阶段攻击链的面纱,该链利用了一个武器化的 Microsoft Excel 文档,该文档伪装成一个电子表格,用于为乌克兰军事人员生成薪水以放弃 Cobalt Strike Beacon。 雷德蒙德指出:“乌克兰的威胁形势继续演变,擦除器和破坏性攻击一直是一个主题。” “勒索软件和擦除器攻击依赖于许多相同的安全漏洞才能成功。” 这些发现是在相对较新的勒索软件菌株爆炸式增长之际出现的,这些菌株在过去几个月中已经在威胁领域获得牵引力,包括Bisamware、Chile Locker、Royal和Ransom Cartel 。 于 2021 年 12 月中旬浮出水面的 Ransom Cartel 还因与REvil 勒索软件共享技术重叠而著称,该软件在对 JBS 和 Kaseya 进行一系列备受瞩目的攻击后对其运营进行了严格的执法审查后,于 2021 年 10 月关闭了商店。 Palo Alto Networks Unit 42 在 10 月 14 日观察到,怀疑“勒索卡特尔运营商获得了早期版本的 REvil 勒索软件源代码” ,并指出“在某个时候,这些组织之间存在关系,尽管它可能不是最近的。” 今年 1 月初,当俄罗斯当局逮捕了多名成员时,REvil 遭受了进一步的挫折,但有迹象表明,臭名昭著的网络犯罪卡特尔可能已经以某种形式卷土重来。 网络安全公司 Trellix 在 9 月下旬还透露了该组织的“不满的内部消息来源”如何分享有关对手的战术、技术和程序 (TTP) 的详细信息,从而对 REvil 及其成员的“关系和内部运作”提供了至关重要的见解。” 回到勒索软件雷达的不仅仅是 REvil。HP Wolf Security 上周表示,它隔离了一个Magniber 活动,该活动已发现针对 Windows 家庭用户的虚假安全更新,该更新使用 JavaScript 文件来扩散文件加密恶意软件。 “攻击者使用巧妙的技术来逃避保护和检测机制,”恶意软件分析师 Patrick Schläpfer 指出。“大多数感染链都是‘无文件’,这意味着恶意软件只驻留在内存中,从而降低了被检测到的机会。”
