Moneybird 勒索软件

伊朗黑客组织 Agrius，也称为 Pink Sandstorm，前身为 Americium，最近开发了一种名为 Moneybird 的新型勒索软件。这种威胁性恶意软件已被观察到专门针对以色列组织，这表明 Agrius 的策略发生了重大转变。

网络犯罪分子扩大了他们的威胁武器库

Agrius 有对以色列实体进行破坏性数据擦除攻击的历史，通常将其伪装成勒索软件事件。用 C++ 编码的 Moneybird 的出现展示了该小组不断增长的专业知识和对创建新网络工具的持续承诺。

该组织的活动至少可以追溯到 2020 年 12 月，当时Agrius参与了破坏针对南非、以色列和香港钻石行业的入侵企图。此前，Agrius 使用了一款名为 Apostle 的擦除器转勒索软件，该软件基于 .NET 框架，其继任者名为 Fantasy。然而，Moneybird 代表了该组织的重大进步，因为它通过其 C++ 编程语言展示了其不断发展的网络能力。

威胁行为者利用安全漏洞获取访问权限

Moneybird 勒索软件采用的攻击方法展示了高度的复杂性，首先是利用面向 Internet 的 Web 服务器中存在的漏洞。这种最初的利用为攻击者提供了进入目标组织网络的关键入口点，并通过部署 ASPXSpy Web shell 提供了便利。

一旦进入受感染的网络，Web shell 就会充当攻击者的通信渠道，以执行一系列专门为对受害者环境进行广泛侦察而量身定制的知名工具。这些工具使攻击者能够在网络内横向移动，收集有价值的凭据，并泄露敏感数据。

Moneybird 勒索软件配备了高级加密功能

在初始渗透和侦察阶段之后，Moneybird 勒索软件在受感染主机上被激活。该勒索软件的设计重点是加密位于“F:\User Shares”文件夹中的敏感文件。执行后，勒索软件会部署赎金票据，给受害者施加巨大压力，要求他们在 24 小时内建立联系，警告他们可能会泄露被盗数据。

Moneybird 勒索软件采用高度复杂的加密方法，将 AES-256 与 GCM（Galois/Counter 模式）结合使用。这种高级加密技术为每个文件生成唯一的加密密钥，并在末尾附加加密的元数据。在大多数情况下，Moneybird 实施的精确定位和强大的加密使数据恢复和文件解密的任务即使不是几乎不可能，也极具挑战性。

阻止勒索软件攻击的重要安全措施

可以实施有效的安全措施来保护设备和数据免受勒索软件攻击。首先，维护最新且强大的安全软件至关重要。定期更新反恶意软件程序并启用自动更新有助于抵御最新的威胁。

为所有帐户实施强而独特的密码是另一个关键步骤。这包括使用字母、数字和符号的组合，以及避免使用常见且容易猜到的密码。此外，启用多因素身份验证需要额外的验证步骤才能访问帐户，从而增加了额外的安全层。

定期备份相关数据对于减轻勒索软件攻击的影响至关重要。创建离线备份或使用云存储解决方案可确保在发生加密或丢失时可以恢复关键文件。

在浏览 Internet 和与电子邮件交互时保持谨慎是必不可少的。用户在单击可疑链接或从不受信任的来源下载文件时应持怀疑态度。保持警惕并避免访问可能有害的网站或处理可疑电子邮件至关重要，因为它们可能包含勒索软件有效负载。

自我教育并随时了解最新的网络安全威胁和攻击技术是非常有益的。识别网络钓鱼攻击中使用的常见社会工程策略并了解潜在勒索软件感染的迹象可以帮助用户采取主动措施来预防和应对此类攻击。

定期更新操作系统、应用程序和固件是保持强大安全性的另一个重要方面。补丁和更新通常包括安全修复程序，用于解决可能被勒索软件和其他恶意软件利用的漏洞。

通过结合执行这些安全措施，用户可以增强对其设备和数据的保护，使其免受勒索软件攻击的破坏性影响。