勒索软件攻击如何扰乱企业和行业?

已发表: 2019-03-25

3 月 19星期二,世界上最大的铝生产商之一 Norsk Hydro 与勒索软件攻击作斗争。

挪威水电
图片来源:路透社

由于该公司在美国的工厂、金属挤压件和其他将铝锭转变为齿轮的轧制产品工厂,建筑商、汽车制造商和其他行业的机械不得不关闭。 现在情况已经得到控制,因为公司有很好的后备计划。 此外,公司将其在挪威的超大型冶炼厂的运营转向人工操作。

公司在 Facebook 上发布的一份声明中说:“Hydro 正在努力遏制和消除攻击,但尚不清楚情况的全部范围。”

<blockquote class=”twitter-tweet” data-lang=”en”><p lang=”en” dir=”ltr”>他们已经通知股市他们已经进行了人工操作。 有人知道这笔交易是什么吗?</p>&mdash; Kevin Beaumont ??‍️ (@GossiTheDog) <a href=”https://twitter.com/GossiTheDog/status/1107928639612555265?ref_src=twsrc%5Etfw”>2019 年 3 月 19 日</a></blockquote>

<script async src=”https://platform.twitter.com/widgets.js” charset=”utf-8″></script>

面对这种攻击热点问题,例如勒索软件如何进入公司系统、它是如何工作的、它叫什么、如何保持安全

不难找到答案。

随着您进一步阅读,您将获得有关勒索软件、它如何利用系统等信息。

首先,根据挪威国家安全局 (NNSA) 的说法,攻击者使用了名为LockerGoga 的勒索软件。

为了将勒索软件传送到端点,公司使用了自己的 Active Directory 服务来对付它。

这不是该勒索软件第一次出现。 LockerGoga 在 1 月份被用来攻击和勒索法国工程公司 Altran Technologies 的资金。

“LockerGoga 仅用于有限的针对性攻击。 它没有“传播者”,它不像 WannaCry 或 NotPetya。 它必须由已经拥有管理员访问权限的攻击者部署,”博蒙特通过推特说。

攻击者如何能够访问管理站点?

这些天来访问管理站点并不是什么大不了的事。 黑客使用最常见的方法,即他们从网络犯罪市场获得暴力破解远程桌面协议凭据。 借助这些凭据,他们可以轻松进入组织的网络,对其进行研究并突袭系统以获取敏感数据,甚至在使用勒索软件进行货币化之前。

什么是 LockerGoga 以及它是如何工作的?

LockerGoga 是一种相当新的勒索软件,它加密计算机文件并要求赎金来解密它们。 该勒索软件会加密 DLL 文件并手动安装。 其背后的攻击者大多使用 Active Directory 传播勒索软件。

Norsk Hydro 与勒索软件攻击作斗争
图片来源:blog.talosintelligence

在 Norsk Hydro 的情况下,怀疑网络钓鱼活动被用来传播 LockerGoga。 另外,在撰写本文时,LockerGoga 没有可用的解密工具。 对勒索软件的最佳防御是谨慎、遵守网络钓鱼攻击以及运行更新的防病毒和其他端点保护。

LockerGoga 是如何工作的?

LockerGoga 背后的攻击者使用经典方法,即恶意软件加密具有目标扩展名的文件,然后留下赎金记录,例如 Ryuk、SamSam 其他勒索软件。 LockerGoga 不能传播到其他目标,但它确实使用其他技术来最小化检测,即恶意软件作者使用有效证书作为可执行文件。 但是,这些证书现在已被吊销。

安装后,它会通过更改密码来更改用户帐户,并尝试注销已登录的用户以将自己重新定位到临时文件夹中并通过命令行重命名自己。 此外,LockerGoga 还会加密受害者的回收站目录内容。 该恶意软件的另一个有趣特征是,它单独加密每个文件,并且在修改注册表项后对每个文件进行加密:( HKEY_CURRENT_USER\SOFTWARE\Microsoft\RestartManager\Session00{01-20}.

通常勒索软件不会这样做,因为会产生开销,这是一种不称职的方法。

此外,恶意软件代码中没有添加 C&C、DNS 信标等,因此假设 LockerGoga 的意图是破坏,而不是间谍活动。

加密文件后,LockerGoga 将以下赎金记录留在 .txt 文件中。

勒索软件攻击
图片来源:trendmicro LockerGoga Ransom note

最新的勒索软件攻击
Img src:trendmicro 勒索软件针对的扩展列表

除此之外,关于 LockerGoga 的另一个有趣的事情是赎金票据不包括比特币或门罗币钱包的钱包地址。 它仅包含两个用于联系恶意软件分发者的电子邮件地址。 另外,为了增加收到赎金的可能性,攻击者提供免费解密少量加密文件。

如何知道您是否感染了 LockerGoga?

由于目标文件已加密并且“.locked”文件扩展名添加在文件名的末尾,您可以确定您已被感染。

储物柜Goga
图片来源:recordedfuture.com

我们从这些类型的攻击中学到了什么?

首先,这些制造麻烦的攻击不针对任何特定的细分市场。 个人、公司各国政府都在其目标。 并且这些攻击造成的损害是严重的。 因此,我们需要保持谨慎,并应随时检查我们的在线活动。 此外,对任何公司的攻击都可能导致商品价格上涨。

此外,支付赎金也不是解决方案,因为赎金只会帮助攻击者设计更高级的恶意软件。 此外,知道他们会得到报酬,犯罪分子会被鼓励攻击。

破坏性勒索软件攻击的示例:

想哭勒索软件使全球银行、热情好客的公司和其他公司陷入瘫痪。
NotPetya 攻击导致供应链公司损失 100 亿美元 全球范围内.

如何在 LockerGoga 面前保持安全

通过遵循这些特定做法,您可以远离 LockerGoga 等勒索软件:

  1. 定期备份文件并确保它有有效的备份
  2. 始终使系统、安全应用程序和其他软件保持最新。 另外,修补未修补的系统
  3. 实施数据分类和网络分段,以最大限度地减少敏感数据的暴露。
  4. 禁用第三方组件,因为它们可以用作入口点。
  5. 避免系统中不请自来的更改,实施额外的安全层,如行为监控和应用程序控制
  6. 教育员工在工作场所实施安全措施。 另外,让他们了解识别网络钓鱼和诈骗电子邮件的方法

包起来:

对于个人、组织和攻击者来说,数据是一种宝贵的资源。 无论是图像还是公司文件,都是有价值的。 因此,我们需要保护它。 网络犯罪分子密切关注它以窃取它并赚钱。 我们的一个愚蠢的错误可能会导致严重的损失。

在过去几年中,勒索软件攻击的频率有所增加,它不仅用于产生利润,还用于破坏网络运营和隐藏踪迹。 LockerGoga 作为一种新菌株可能缺乏复杂性,但它是勒索软件在利用组织或个人时如何造成损害的另一个例子。 因此,要小心并保持安全。 为了保护自己免受勒索软件攻击,请务必备份重要数据并保持系统更新。

我们希望您喜欢这篇文章,并希望您继续关注我们以获取最新的安全新闻。 订阅 TweakLibrary,点击铃铛图标将帮助您接收通知并继续关注我们。 请在下面的部分给我们留下评论。