16 views

TEMP.MixMaster组感染了Tickbot并推迟了Ryuk勒索软件组合

By | 2019年1月14日

TEMP.MixMaster,在部署臭名昭着的Ryuk勒索软件之前感染了Trickbot恶意软件的受害者,到目前为止已经成功地报道了价值370万美元的比特币。

这些攻击也是独一无二的,因为威胁行为者在获得访问权之后经常会等待很长时间,通常在发动勒索软件攻击之前以其他方式从受害者那里获利。

根据1月10日的博客文章,FireEye的研究人员注意到,至少从2017年12月开始,演员们一直活跃,而且目前还不清楚袭击背后的确切人数,无数报道将此活动归咎于朝鲜。

“在多个事件中,TEMP.MixMaster不仅仅依靠内置的TrickBot功能,而是使用EMPIRE和RDP连接来实现受害环境中的横向移动,”研究人员在帖子中说。

“像这样的勒索软件的交互式部署允许攻击者在受害者网络内进行有价值的侦察,并识别关键系统,以最大限度地减少对业务运营的干扰,最终增加组织支付所需赎金的可能性。”

该活动主要分发给美国的组织,影响政府,金融服务,制造业,服务提供商甚至高端科技行业的受害者。

虽然目前还不完全清楚感染是如何传播的,但研究人员目睹了一个事件,其中威胁组使用带有XLS附件的工资单主题网络钓鱼攻击来提供曾经打开的TrickBot恶意软件,启用宏并从远程服务器下载Trickbot。

然后恶意软件将在一个组织内横向移动,该组织在一段时间不活动之前建立一个立足点,然后分发Ryuk。

在一个案例中,威胁行为者在发布勒索软件之前等待了一年,这表明在发布相对较新的勒索软件之前,威胁行为者正以其他方式货币化对感染系统的访问。

其他活动中的威胁参与者,例如SamSam勒索软件攻击,也使用了在通过其他方法访问受害者组织后部署勒索软件的策略。

研究人员在报告中说:“在不分青红皂白的运动之后,威胁行动者可以让受害者找到感兴趣的系统和用户,然后确定潜在的货币化策略,以最大化他们的收入。”

“各种恶意软件系列已经整合了能够帮助发现高价值目标的能力,强调组织必须优先考虑对所有威胁进行适当的补救,而不仅仅是那些最初看似有针对性的威胁。”

发表评论

电子邮件地址不会被公开。 必填项已用*标注