XiaoMi-AI文件搜索系统
World File Search SystemRansomware
勒索软件威胁 - 赛门铁克企业云
Cardinal 是最近开发的 Black Basta 勒索软件的运营商。它存在的第一个证据可以追溯到 2022 年 4 月,当时地下论坛上的一篇俄语帖子表示,它有兴趣购买美国、加拿大、英国、澳大利亚和新西兰组织的访问权限。该组织通过大量攻击立即产生了影响,这表明他们是经验丰富的运营商,但到目前为止,还没有证据表明它与旧的勒索软件操作有任何明确的联系。虽然有一些报道称 Black Basta 是一个勒索软件即服务操作,但尚未出现任何确凿的证据。Cardinal 从未为关联公司做过广告。
评估勒索软件攻击背后的政治动机
近年来,勒索软件(一种网络犯罪)作为私营部门的风险源,受到越来越多的关注。尽管勒索软件攻击传统上被视为非政治性的,但最近的事态发展表明,这些攻击背后的一些团体可能与俄罗斯政府存在联系。在本文中,我们通过比较俄罗斯团体的受害者和俄罗斯以外团体的受害者,测试俄罗斯勒索软件团体的行为是否与俄罗斯的政治目标一致。为了进行这项研究,我们根据发布到暗网的信息,在 2019 年 5 月至 2022 年 5 月期间收集了位于 102 个国家/地区的 4,000 多名勒索软件攻击受害者的数据集。利用这些数据,我们发现在六个民主国家选举前的几个月里,俄罗斯团体的平均攻击次数有所增加,而俄罗斯以外团体的攻击次数并没有出现类似的增加。我们还分析了俄罗斯一个大型勒索软件组织的泄露聊天记录;根据我们的分析,我们认为俄罗斯政府与俄罗斯的勒索软件组织保持着松散的联系:这些组织作为独立的犯罪组织运作,但偶尔会为政府提供帮助。作为交换,政府为这些组织提供免于起诉的安全港,并从这些组织在世界舞台上的行动中获得合理的否认。因此,本文首次提供了俄罗斯勒索软件组织与俄罗斯政府之间存在宏观联系的证据,并表明需要对网络犯罪带来的国际安全威胁进行更多分析。
对 Quantum 勒索软件的详细分析
/LOGIN= 用于传播到其他计算机的用户名 /PASSWORD= 用于传播到其他计算机的密码 /CONSOLE 使用 Windows 控制台进行日志记录 /NODEL 不删除自身 /NOKILL 不停止目标进程和服务 /NOLOG 执行时没有区别 /SHAREALL 加密除“\ADMIN$”之外的所有共享资源 /NETWORK -w 使用 WMI 进行横向移动 -s 创建远程服务来运行勒索软件 /PARAMS= 恶意软件在执行横向移动时运行的参数 /TARGET= 加密特定文件/目录 /FAST= 快速加密的大小(默认值 = 0x10000000 字节) /MIN= 要加密的文件的最小大小 /MAX= 要加密的文件的最大大小 /FULLPD 不要避免加密“Program Files”、“Program Files (x86)”和“ProgramData”文件夹 /MARKER= 在要加密的驱动器中创建标记文件 /NOLOCK= -L 不加密本地驱动器 -N不针对网络中的其他计算机 -S 不加密网络共享资源
2022 年第一季度勒索软件受害者和网络接入销售额
2022 年 1 月,Conti 的活动有所减少。2022 年 2 月,在俄乌战争之后,该组织的一名成员泄露了来自不同内部聊天的约 395,000 条消息,以及勒索软件的源代码和其他数据,让人们得以一窥该行动的活动和组织结构。泄密事件发生后,Conti 沉寂了 3 天,但在 2022 年 3 月,该组织的受害者数量自 2 月以来翻了一番。大多数受害者来自制造业和工业产品、专业服务和医疗保健行业。截至 2022 年第一季度,Conti 和与 Conti 团伙有关联的数据勒索组织 Karakurt 仍然是第二活跃的组织。
OIG-22-62 - 国土安全部可以更好地减轻与恶意软件、勒索软件和网络钓鱼攻击相关的风险
1 https://www.dhs.gov/sites/default/files/2022-04/DHS%20FY21-23%20APR.pdf。2 https://www.cisa.gov/uscert/ncas/analysis-reports/ar20-216a。3 恶意软件是破坏服务、窃取敏感信息或获取私人计算机系统访问权限的恶意代码(例如病毒、蠕虫和机器人),https://www.cisa.gov/report。4 网络钓鱼是个人或团体试图通过使用社会工程技术从毫无戒心的用户那里索要个人信息,通常是通过包含欺诈网站链接的电子邮件,https://www.cisa.gov/uscert/report-phishing。5 https://www.nytimes.com/2016/12/13/us/politics/russia-hack-election-dnc.html。6 https://www.zdnet.com/article/phishing-groups-are-collecting-user-data-email-and banking-passwords-via-fake-voter-registration-forms。7 https://www.cisa.gov/shields-up。8 https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE4Vwwd。www.oig.dhs.gov 1 OIG-22-62
OIG-22-62 - 国土安全部可以更好地缓解与恶意软件、勒索软件和网络钓鱼攻击相关的风险
1 https://www.dhs.gov/sites/default/files/2022-04/DHS%20FY21-23%20APR.pdf。2 https://www.cisa.gov/uscert/ncas/analysis-reports/ar20-216a。3 恶意软件是破坏服务、窃取敏感信息或获取私人计算机系统访问权限的恶意代码(例如病毒、蠕虫和机器人),https://www.cisa.gov/report。4 网络钓鱼是个人或团体试图通过使用社会工程技术从毫无戒心的用户那里索要个人信息,通常是通过包含欺诈网站链接的电子邮件,https://www.cisa.gov/uscert/report-phishing。5 https://www.nytimes.com/2016/12/13/us/politics/russia-hack-election-dnc.html。6 https://www.zdnet.com/article/phishing-groups-are-collecting-user-data-email-and- banking-passwords-via-fake-voter-registration-forms。7 https://www.cisa.gov/shields-up。8 https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE4Vwwd。www.oig.dhs.gov 1 OIG-22-62
针对关键基础设施部门的勒索软件攻击
勒索软件团伙不断攻击关键基础设施 (CI),但许多攻击都没有报告,特别是在没有支付赎金的情况下。2016 年 ii 和 2017 年,iii 不同的 AEP 组织警告称,勒索软件可能会增长,自那时以来,勒索软件数量呈指数级增长。iv,v 有关勒索软件攻击关键基础设施的频率的准确数据对于计划、执行和评估 USG 反勒索软件工作的有效性至关重要。根据最近的 Peters 报告,“联邦政府缺乏有关勒索软件攻击的全面数据”并且“报告分散在多个联邦机构中”。vi USG 通过金融犯罪执法网络 (FinCEN) 接收有关赎金支付的报告,并通过网络安全和基础设施安全局 (CISA) 和执法部门 (LE) 接收有关勒索软件事件的报告;我们提出建议,通过解决情报共享和改进报告流程来提高整个政府的可见性。
勒索软件崛起的背后 | 大西洋理事会
本期简报调查了 2021 年夏天威胁美国的勒索软件激增的驱动因素,解释了为什么这些攻击至今仍是一个持续的威胁,并提出了未来缓解问题的建议。2021 年勒索软件活动的激增源于犯罪分子发起勒索软件攻击方式的变化。2016 年至 2019 年期间,网络犯罪分子从强调规模的自动勒索软件活动转向针对组织和成熟企业的有针对性的勒索行动。这种调整使勒索软件更具破坏性和更有利可图,最终引起了组织良好的网络犯罪团伙的注意。从那时起直到对 Colonial Pipeline 的攻击,勒索软件疫情的加剧是由于犯罪分子越来越多地采用这种新的勒索模式。
IST - 勒索软件防御蓝图
因此,本勒索软件防御蓝图采用了 CIS 控制措施,这是一套由全球网络安全专家社区开发的优先且规范的行动。蓝图中包含的四十 (40) 项建议的保护措施经过精心挑选,不仅因为它们易于实施,而且它们在防御勒索软件攻击方面也很有效。这得到了 CIS 社区防御模型 v2.0 (CIS CDM v2.0) 的分析支持,其中实施本蓝图中的保护措施可防御超过 70% 的勒索软件相关攻击技术。需要注意的是,本蓝图并非旨在作为实施指南,而是对可采取的防御措施的建议,以防范和应对勒索软件和其他常见的网络攻击。本文档的附录 C 和蓝图工具和资源提供了多种可用于协助实施这些保护措施的工具和资源。