Hijacked Admin Accounts Bring About Personalized Ransomware Attacks
据TrendMicro的研究人员报告,勒索软件攻击以其名字命名目标受害者已经成为一家制造企业。据称是在2月18日晚些时候进行的,负责人劫持了一个管理用户帐户,利用PsExec命令行工具种植了BitPaymer勒索软件的变种。此外,他们确保将受影响组织的名称放在赎金票据本身,与本月早些时候对亚利桑那饮料公司的iEncrypt勒索软件攻击完全匹配。与BitPaymer类似, iEncrypt还在赎金票据中显示了受害者的姓名,这意味着这两种威胁可能有联系。
由于早期的Dridex感染,攻击成功
根据TrendMicro的安全团队的说法,2月18日的感染证明是成功的,因为黑客主管在随机定位的管理级别计算机上进行了一系列尝试远程部署Empire PowerShell后期开发代理的失败尝试。然而,这种成功可能是由于早期的Dridex感染 , 这种感染不仅事先发生,而且也没有被公司忽视。
除了亚利桑那饮料案和2018年末针对几家企业的一些攻击之外,这是最近一次网络犯罪分子在赎金票据的文本中通过名字向受害者发表讲话。更重要的是,该公司的名称也作为附加到所有加密数据的文件扩展名。然而,该说明所说的内容可从以下文字中看出:
你好[受害者的名字]
您的网络遭到黑客攻击和加密。网上没有免费的解密软件。发送电子邮件给我们[[字符不清晰] @ protonmail.com(或)[字符串] @ india.com以获取赎金金额。保持联系人的安全。披露可能导致解密不可能。请使用您的公司名称作为电子邮件主题。 TAIL:[随机字符] KEY:[随机字符]
赎金票据不仅包含受害者的姓名,还包含加密密钥。因为后者是成功解密的先决条件。
保存名称和扩展名,代码保持不变
如上所述,这不是安全研究人员第一次遇到BitPaymer勒索软件感染。新案例也没有采用全新的BitPaymer变体。仔细研究一下代码,与去年的攻击相比,没有显着差异。唯一的变量似乎是赎金票据中受影响组织的名称。与之前将".locked"扩展名附加到加密数据的BitPaymer感染不同,2019年2月18日的最新版本使用受害者的名称。
BitPaymer勒索软件攻击强调在系统管理员工具方面需要增强的保护机制,因为它们经常受到剥削尝试. 此外,运行主动监控服务和反恶意软件解决方案也不会受到影响。