勒索軟件攻擊如何擾亂企業和行業?

已發表: 2019-03-25

3 月 19星期二,世界上最大的鋁生產商之一 Norsk Hydro 與勒索軟件攻擊作鬥爭。

挪威水電
圖片來源:路透社

由於該公司在美國的工廠、金屬擠壓件和其他將鋁錠轉變為齒輪的軋製產品工廠,建築商、汽車製造商和其他行業的機械不得不關閉。 現在情況已經得到控制,因為公司有很好的後備計劃。 此外,公司將其在挪威的超大型冶煉廠的運營轉向人工操作。

公司在 Facebook 上發布的一份聲明中說:“Hydro 正在努力遏制和消除攻擊,但尚不清楚情況的全部範圍。”

<blockquote class=”twitter-tweet” data-lang=”en”><p lang=”en” dir=”ltr”>他們已經通知股市他們已經進行了人工操作。 有人知道這筆交易是什麼嗎?</p>&mdash; Kevin Beaumont ??‍️ (@GossiTheDog) <a href=”https://twitter.com/GossiTheDog/status/1107928639612555265?ref_src=twsrc%5Etfw”>2019 年 3 月 19 日</a></blockquote>

<script async src=”https://platform.twitter.com/widgets.js” charset=”utf-8″></script>

面對這種攻擊熱點問題,例如勒索軟件如何進入公司係統、它是如何工作的、它叫什麼、如何保持安全

不難找到答案。

隨著您進一步閱讀,您將獲得有關勒索軟件、它如何利用系統等信息。

首先,根據挪威國家安全局 (NNSA) 的說法,攻擊者使用了名為LockerGoga 的勒索軟件。

為了將勒索軟件傳送到端點,公司使用了自己的 Active Directory 服務來對付它。

這不是該勒索軟件第一次出現。 LockerGoga 在 1 月份被用來攻擊和勒索法國工程公司 Altran Technologies 的資金。

“LockerGoga 僅用於有限的針對性攻擊。 它沒有“傳播者”,它不像 WannaCry 或 NotPetya。 它必須由已經擁有管理員訪問權限的攻擊者部署,”博蒙特通過推特說。

攻擊者如何能夠訪問管理站點?

這些天來訪問管理站點並不是什麼大不了的事。 黑客使用最常見的方法,即他們從網絡犯罪市場獲得暴力破解遠程桌面協議憑據。 借助這些憑據,他們可以輕鬆進入組織的網絡,對其進行研究並突襲系統以獲取敏感數據,甚至在使用勒索軟件進行貨幣化之前。

什麼是 LockerGoga 以及它是如何工作的?

LockerGoga 是一種相當新的勒索軟件,它加密計算機文件並要求贖金來解密它們。 該勒索軟件會加密 DLL 文件並手動安裝。 其背後的攻擊者大多使用 Active Directory 傳播勒索軟件。

Norsk Hydro 與勒索軟件攻擊作鬥爭
圖片來源:blog.talosintelligence

在 Norsk Hydro 的情況下,懷疑網絡釣魚活動被用來傳播 LockerGoga。 另外,在撰寫本文時,LockerGoga 沒有可用的解密工具。 對勒索軟件的最佳防禦是謹慎、遵守網絡釣魚攻擊以及運行更新的防病毒和其他端點保護。

LockerGoga 是如何工作的?

LockerGoga 背後的攻擊者使用經典方法,即惡意軟件加密具有目標擴展名的文件,然後留下贖金記錄,例如 Ryuk、SamSam 其他勒索軟件。 LockerGoga 不能傳播到其他目標,但它確實使用其他技術來最小化檢測,即惡意軟件作者使用有效證書作為可執行文件。 但是,這些證書現在已被吊銷。

安裝後,它會通過更改密碼來更改用戶帳戶,並嘗試註銷已登錄的用戶以將自己重新定位到臨時文件夾中並通過命令行重命名自己。 此外,LockerGoga 還會加密受害者的回收站目錄內容。 該惡意軟件的另一個有趣特徵是,它單獨加密每個文件,並且在修改註冊表項後對每個文件進行加密:( HKEY_CURRENT_USER\SOFTWARE\Microsoft\RestartManager\Session00{01-20}.

通常勒索軟件不會這樣做,因為會產生開銷,這是一種不稱職的方法。

此外,惡意軟件代碼中沒有添加 C&C、DNS 信標等,因此假設 LockerGoga 的意圖是破壞,而不是間諜活動。

加密文件後,LockerGoga 將以下贖金記錄留在 .txt 文件中。

勒索軟件攻擊
圖片來源:trendmicro LockerGoga Ransom note

最新的勒索軟件攻擊
Img src:trendmicro 勒索軟件針對的擴展列表

除此之外,關於 LockerGoga 的另一個有趣的事情是贖金票據不包括比特幣或門羅幣錢包的錢包地址。 它僅包含兩個用於聯繫惡意軟件分發者的電子郵件地址。 另外,為了增加收到贖金的可能性,攻擊者提供免費解密少量加密文件。

如何知道您是否感染了 LockerGoga?

由於目標文件已加密並且“.locked”文件擴展名添加在文件名的末尾,您可以確定您已被感染。

儲物櫃Goga
圖片來源:recordedfuture.com

我們從這些類型的攻擊中學到了什麼?

首先,這些製造麻煩的攻擊不針對任何特定的細分市場。 個人、公司各國政府都在其目標。 並且這些攻擊造成的損害是嚴重的。 因此,我們需要保持謹慎,並應隨時檢查我們的在線活動。 此外,對任何公司的攻擊都可能導致商品價格上漲。

此外,支付贖金也不是解決方案,因為贖金只會幫助攻擊者設計更高級的惡意軟件。 此外,知道他們會得到報酬,犯罪分子會被鼓勵攻擊。

破壞性勒索軟件攻擊的示例:

想哭勒索軟件使全球銀行、熱情好客的公司和其他公司陷入癱瘓。
NotPetya 攻擊導致供應鏈公司損失 100 億美元 全球範圍內.

如何在 LockerGoga 面前保持安全

通過遵循這些特定做法,您可以遠離 LockerGoga 等勒索軟件:

  1. 定期備份文件並確保它有有效的備份
  2. 始終使系統、安全應用程序和其他軟件保持最新。 另外,修補未修補的系統
  3. 實施數據分類和網絡分段,以最大限度地減少敏感數據的暴露。
  4. 禁用第三方組件,因為它們可以用作入口點。
  5. 避免系統中不請自來的更改,實施額外的安全層,如行為監控和應用程序控制
  6. 教育員工在工作場所實施安全措施。 另外,讓他們了解識別網絡釣魚和詐騙電子郵件的方法

包起來:

對於個人、組織和攻擊者來說,數據是一種寶貴的資源。 無論是圖像還是公司文件,都是有價值的。 因此,我們需要保護它。 網絡犯罪分子密切關注它以竊取它並賺錢。 我們的一個愚蠢的錯誤可能會導致嚴重的損失。

在過去幾年中,勒索軟件攻擊的頻率有所增加,它不僅用於產生利潤,還用於破壞網絡運營和隱藏踪跡。 LockerGoga 作為一種新菌株可能缺乏複雜性,但它是勒索軟件在利用組織或個人時如何造成損害的另一個例子。 因此,要小心並保持安全。 為了保護自己免受勒索軟件攻擊,請務必備份重要數據並保持系統更新。

我們希望您喜歡這篇文章,並希望您繼續關注我們以獲取最新的安全新聞。 訂閱 TweakLibrary,點擊鈴鐺圖標將幫助您接收通知並繼續關注我們。 請在下面的部分給我們留下評論。