新发现显示,无论部署何种文件加密恶意软件,针对 VMware ESXi 基础设施的勒索软件攻击都遵循既定模式。 网络安全公司 Sygnia在与 The Hacker News 分享的一份报告中表示:“虚拟化平台是组织 IT 基础设施的核心组件,但它们经常存在固有的错误配置和漏洞,这使其成为威胁行为者滥用的有利可图且高度有效的目标。” 这家以色列公司通过对 LockBit、HelloKitty、BlackMatter、RedAlert (N13V)、Scattered Spider、Akira、Cactus、BlackCat 和 Cheerscrypt 等各种勒索软件家族的事件响应工作发现,针对虚拟化环境的攻击遵循类似的操作顺序。 这包括以下步骤 -
为了减轻此类威胁带来的风险,建议组织确保实施充分的监控和日志记录,创建强大的备份机制,实施强有力的身份验证措施,强化环境,并实施网络限制以防止横向移动。 网络安全公司 Rapid7 警告称,自 2024 年 3 月初以来,一场恶意活动正在持续进行,该活动在常用的搜索引擎上投放恶意广告,通过域名抢注的域名分发 WinSCP 和 PuTTY 的木马安装程序,并最终安装勒索软件。 这些伪造的安装程序充当了投放 Sliver 后利用工具包的管道,该工具包随后被用来投放更多有效载荷,包括用于勒索软件部署的 Cobalt Strike Beacon。 此次活动与之前的 BlackCat 勒索软件攻击在战术上有重叠,这些攻击使用恶意广告作为初始访问媒介,作为传播Nitrogen 恶意软件的定期 活动的一部分。 安全研究员泰勒麦格劳 (Tyler McGraw)表示:“该活动对 IT 团队的成员影响尤为严重,他们在寻找合法版本时最有可能下载被木马感染的文件。” “成功执行恶意软件将为威胁行为者提供更高的立足点,并通过模糊后续管理行动的意图来阻碍分析。” 此次披露还伴随着Beast、MorLock、Synapse和Trinity等新勒索软件家族的出现,其中 MorLock 组织广泛攻击俄罗斯公司并对文件进行加密而不先将其泄露。 Group-IB 的俄罗斯分支机构 FACCT 表示:“为了恢复数据访问权限,[MorLock] 攻击者索要大量赎金,数额可能达到数千万甚至数亿卢布。” 根据NCC集团分享的数据,2024年4月全球勒索软件攻击环比下降15%,从421起降至356起。 值得注意的是,2024 年 4 月也标志着 LockBit 作为受害者最多的威胁行为者的八个月统治的结束,凸显了其在今年早些时候执法部门大规模打击之后维持运营的艰难。 该公司表示:“然而,令人惊讶的是,LockBit 3.0 并不是本月最突出的威胁组织,其攻击次数还不到 3 月份的一半。” “相反,Play 是最活跃的威胁组织,紧随其后的是 Hunters。” 勒索软件领域的动荡还因网络犯罪分子宣传隐藏的虚拟网络计算 ( hVNC ) 和远程访问服务(如Pandora和TMChecker)而加剧,这些服务可用于数据泄露、部署其他恶意软件以及促进勒索软件攻击。 Resecurity 表示:“多个初始访问代理 (IAB) 和勒索软件运营商使用 [TMChecker] 检查可用的受损数据中是否存在企业 VPN 和电子邮件帐户的有效凭证。” “TMChecker 的同步崛起具有重要意义,因为它大大降低了威胁行为者寻求获得高影响力企业访问权限的成本门槛,无论是用于主要利用还是在二级市场上出售给其他对手。” |
|