FBI 警告说,在过去两个月中,一种致命的新型勒索软件已经感染了至少 60 个不同的组织。
在上周晚些时候发布的一份 Flash 报告中,情报机构表示,已知的勒索软件即服务攻击者 BlackCat 使用 RUST 编写的菌株破坏了这些组织。
这有点不寻常,因为大多数勒索软件都是用 C 或 C++ 编写的。然而,FBI 认为这些特定的威胁参与者选择了 RUST,因为它被认为是“一种更安全的编程语言,可提供更高的性能和可靠的并发处理”。
缓解和防御
FBI 表示,BlackCat,也称为 ALHPV,通常要求以比特币和门罗币付款以换取解密密钥,尽管要求通常是“数百万”,但通常接受低于初始要求的付款。
FBI 进一步解释说,BlackCat 还与 Darkside(又名 Blackmatter)有着密切的联系,这表明该组织在操作恶意软件和勒索软件攻击方面拥有“广泛的网络和经验”。
攻击通常从一个已经被入侵的帐户开始,这使攻击者可以初始访问目标端点。然后,该组入侵 Active Directory 用户和管理员帐户,并使用 Windows 任务计划程序配置恶意组策略对象 (GPO),以部署勒索软件。
初始部署使用 PowerShell 脚本和 Cobalt Strike,并禁用受害者网络中的安全功能。
然后,攻击者会在锁定系统之前下载尽可能多的数据。他们甚至希望从他们能找到 的任何云托管服务提供商那里提取数据。
最后,在 Windows 脚本的帮助下,该组织试图将勒索软件部署到其他主机上。
FBI 还创建了一份完整的推荐缓解措施列表,其中包括审查域控制器、服务器、工作站和活动目录以查找新的或无法识别的用户帐户;定期备份数据,查看任务计划程序以查找无法识别的计划任务,并要求任何软件安装过程的管理员凭据。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理
