6月,GandCrab背后的勒索软件即服务(RaaS)威胁行动者,这是一种多功能勒索软件,通常需要先进的基于机器学习的安全解决方案来应对,并在勒索超过20亿美元的赎金后宣布退役。 付款。 但是,GandCrab团伙可能会重蹈覆辙。 各种安全研究人员报告说,该组织可能负责发布更高级的勒索软件变体,即Sodinokibi(趋势科技检测为Ransom.Win32.SODINOKIBI.A)。
[阅读:GandCrab通过针对MySQL数据库扩展受害者列表]
Sodinokibi首次发现是在2019年4月,即GandCrab“退休”前几个月,当时Talos研究人员通过利用Oracle WebLogic Server漏洞CVE-2019-2725发现了勒索软件感染机。 关于该攻击的博客文章首先提出了进行GandCrab连接的可能性,并指出是如何进行了其他利用此漏洞的尝试,但安装了GandCrab而不是Sodinokibi。
研究人员布莱恩·克雷布斯(Brian Krebs)在博客文章中指出,5月,一个不知名的人在地下论坛上存入了超过13万美元的加密货币,这是广告的一部分,邀请会员加入新的RaaS计划。 该广告客户承诺为每个关联企业至少提供10,000美元,在开始时就削减了60%,在前三笔付款后降低到了70%。 RaaS背后的威胁行动者还希望有一支规模较小但专业的团队,并指出他们并不想雇用尽可能多的人。
广告还要求关联公司避免在叙利亚开展业务-考虑到GandCrab背后的组织在2018年释放了解密密钥的事实,这是一个奇怪的要求,此前一位父亲的推特呼吁使他失去了父亲, 儿子的照片要加密。
Tesorion安全研究人员还揭示了两个恶意软件家族之间的更多潜在联系,包括用作C&C服务器的随机URL的相似性以及GandCrab检测的反比例(减少)和Sodinokibi检测的反比例(增加)。
[阅读:2019年的勒索软件–以及具有机器学习功能的安全解决方案]
恶意软件家族从未真正退休
尽管(或由于)GandCrab背后的威胁行动者在宣布退休前赚了大笔钱,但网络生活的诱惑力可能太强了。
恶意软件家族,甚至是旧的家族,也从未真正消失过。 实际上,趋势似乎表明威胁行为者会不断完善其工具,策略和程序,以使其攻击更加有效。 GandCrab小组有可能希望通过建立新的业务而重新开始,而不会在GandCrab的名称上声名狼藉,或者新开发人员只是出于类似目的使用了类似方法。 无论如何,勒索软件对组织的影响(丢失重要数据以及遭受金钱损失和声誉损失)仍然是不变的。
幸运的是,实施以下最佳实践对打击勒索软件大有帮助: GandCrab和Sodinokibi都利用漏洞感染受害者。 因此,组织应将尽快更新其计算机列为优先事项。 企业应始终使用3-2-1规则备份其数据:至少以两种不同的存储格式备份三份,其中至少一份位于异地。 鉴于垃圾邮件是勒索软件的常见感染媒介,用户应警惕可疑电子邮件,并避免单击未知链接或下载不熟悉的附件。
组织还应考虑实施安全性的多层方法,以减轻勒索软件带来的风险。 这包括使用诸如趋势科技(Trend Micro™)智能保护套件之类的安全技术,该技术可提供多种功能,例如高保真机器学习,行为监控和应用程序控制以及漏洞屏蔽,以最大程度地减少此威胁的影响。
这些解决方案由趋势科技™ XGen ™安全性提供支持,该安全性针对数据中心的各种威胁提供了跨代的威胁防御技术组合, 云环境,网络和端点。 智能,优化和连接的XGen为趋势科技的安全解决方案套件提供了支持:混合云安全性,用户保护和网络防御。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢