XiaoMi-AI文件搜索系统
World File Search System勒索
勒索软件生态系统日益分散
Corvus 分析借助 eCrime.ch 的支持数据得以实现。本报告仅供一般指导和参考之用。本报告在任何情况下均不得用作或视为特定的保险或信息安全建议。本报告不应被视为对本文所含事项的客观或独立解释。
#停止勒索软件:LockBit 3.0
LockBit 3.0 在编译时配置了许多不同的选项,这些选项决定了勒索软件的行为。在受害者环境中实际执行勒索软件时,可以提供各种参数来进一步修改勒索软件的行为。例如,LockBit 3.0 接受其他参数,用于横向移动和重新启动到安全模式中的特定操作(请参阅“妥协指标”下的 LockBit 命令行参数)。如果 LockBit 关联公司无法访问无密码的 LockBit 3.0 勒索软件,则在执行勒索软件期间必须输入密码参数。如果 LockBit 3.0 关联公司无法输入正确的密码,则无法执行勒索软件 [T1480.001]。密码是解码 LockBit 3.0 可执行文件的加密密钥。通过以这种方式保护代码,LockBit 3.0 阻碍了恶意软件的检测和分析,因为代码在加密形式下是不可执行和不可读的。基于签名的检测可能无法检测到 LockBit 3.0 可执行文件,因为可执行文件的加密部分会根据用于加密的加密密钥而有所不同,同时还会生成唯一的哈希值。当提供正确的密码时,LockBit 3.0 将解密主要组件,继续解密或解压缩其代码,并执行勒索软件。
#stopransomware:blacksuit(皇家)勒索软件
(2024年8月7日更新)赎金需求通常从大约100万美元到1000万美元不等,比特币要求付款。黑衣演员总共要求超过5亿美元,最大的个人赎金需求为6000万美元。黑衣演员表现出谈判付款金额的意愿。赎金金额不是初始赎金票据的一部分,而是需要通过.onion URL(通过TOR浏览器到达)在加密后与威胁行为者直接互动。最近,在受害者收到有关违法行为和赎金的受害者接收电话或电子邮件通信的情况下,观察到了一个增长。黑衣使用泄漏站点根据非付款发布受害者数据。
超级勒索软件防御者 div>
安全工具集成。您可以设置Webhooks,零值API,甚至可以与流行的IT安全和操作平台(如ServiceNow,Splunk和Palo Alto Networks)进行集成。这些将将SuperNA数据提供到中央仪表板中,并提醒您选择的安全工具中无缝监视的机制!
#stopransomware:Bianlian数据勒索组
(2024年11月20日更新)Bianlian集团演员自2022年6月以来一直影响美国多个关键基础设施部门的组织。除了专业服务和房地产开发外,他们还针对澳大利亚关键基础设施部门。该小组通过有效的远程桌面协议(RDP)凭据,使用开源工具和命令行脚本进行发现和凭据收获,并通过文件传输协议(FTP),RCLONE或MEGA删除受害者数据。bianlian然后通过威胁要释放数据,勒索金钱。Bianlian Group最初采用了双重贬义模型,在该模型中,他们在删除数据后对受害者的系统进行了加密;但是,他们主要转移到2023年1月左右的基于渗透的勒索,并在2024年1月左右转移到完全基于脱落的勒索。
使用人工智能检测和识别勒索软件
摘要 恶意软件是一种不断发展和不断上升的威胁,尤其是勒索软件,这是一种恶意软件。勒索软件即服务平台的兴起加剧了这种激增,恶意软件研究人员需要快速可靠地识别勒索软件家族的选项,以保护个人数据和重要基础设施。在本研究中,我们提供了一种基于图像的检测和分类方法,可以通过将勒索软件与已知的勒索软件家族进行比较来帮助研究人员识别勒索软件的来源。我们的目标是使用有限大小的训练数据集和 COTS 硬件对给定的勒索软件样本达到高准确度和低误报率。我们使用了从 VirusTotal (VT) 获得的 347,307 个 Windows 可执行恶意软件样本的数据集。这些样本由 VT 在 2017 年至 2020 年期间收集。从这个数据集中,我们选择了被确认为已知勒索软件的样本。我们应用了一种新颖的 AI 驱动方法,根据二进制文件的图像表示对勒索软件进行分类。安全从业人员和学者已将这种方法用于一般恶意软件,但并未用于勒索软件等特定类型的恶意软件。我们使用了一种简单的方法,根据 Keras(TensorFlow 开源机器学习平台的 Python API)中 16 个可用应用程序来选择性能最佳的卷积神经网络。这些应用程序在 ImageNet 自然图像数据集上进行了预训练。所提出的方法实现了 90% 以上的准确率和高召回率,基于三通道 (RGB) 图像高概率检测勒索软件。我们数据集上得分最高的模型是 MobileNet 和 MobileNetV2。关键词:勒索软件、计算机视觉、深度学习、CNN、机器学习
勒索软件威胁 - 赛门铁克企业云
Cardinal 是最近开发的 Black Basta 勒索软件的运营商。它存在的第一个证据可以追溯到 2022 年 4 月,当时地下论坛上的一篇俄语帖子表示,它有兴趣购买美国、加拿大、英国、澳大利亚和新西兰组织的访问权限。该组织通过大量攻击立即产生了影响,这表明他们是经验丰富的运营商,但到目前为止,还没有证据表明它与旧的勒索软件操作有任何明确的联系。虽然有一些报道称 Black Basta 是一个勒索软件即服务操作,但尚未出现任何确凿的证据。Cardinal 从未为关联公司做过广告。
针对关键基础设施部门的勒索软件攻击
勒索软件团伙不断攻击关键基础设施 (CI),但许多攻击都没有报告,特别是在没有支付赎金的情况下。2016 年 ii 和 2017 年,iii 不同的 AEP 组织警告称,勒索软件可能会增长,自那时以来,勒索软件数量呈指数级增长。iv,v 有关勒索软件攻击关键基础设施的频率的准确数据对于计划、执行和评估 USG 反勒索软件工作的有效性至关重要。根据最近的 Peters 报告,“联邦政府缺乏有关勒索软件攻击的全面数据”并且“报告分散在多个联邦机构中”。vi USG 通过金融犯罪执法网络 (FinCEN) 接收有关赎金支付的报告,并通过网络安全和基础设施安全局 (CISA) 和执法部门 (LE) 接收有关勒索软件事件的报告;我们提出建议,通过解决情报共享和改进报告流程来提高整个政府的可见性。
勒索软件受害者和网络接入销售...
2022 年 1 月,Conti 的活动有所减少。2022 年 2 月,在俄乌战争之后,该组织的一名成员泄露了来自不同内部聊天的约 395,000 条消息,以及勒索软件的源代码和其他数据,让人们得以一窥该行动的活动和组织结构。泄密事件发生后,Conti 沉寂了 3 天,但在 2022 年 3 月,该组织的受害者数量自 2 月以来翻了一番。大多数受害者来自制造业和工业产品、专业服务和医疗保健行业。与 Conti 团伙相关的数据勒索集团 Karakurt 一起,Conti 仍然是