Hijacked Admin Accounts Bring About Personalized Ransomware Attacks

據TrendMicro的研究人員報告，勒索軟件攻擊以其名字命名目標受害者已經成為一家製造企業。據稱是在2月18日晚些時候進行的，負責人劫持了一個管理用戶帳戶，利用PsExec命令行工具種植了BitPaymer勒索軟件的變種。此外，他們確保將受影響組織的名稱放在贖金票據本身，與本月早些時候對亞利桑那飲料公司的iEncrypt勒索軟件攻擊完全匹配。與BitPaymer類似， iEncrypt還在贖金票據中顯示了受害者的姓名，這意味著這兩種威脅可能有聯繫。

由於早期的Dridex感染，攻擊成功

根據TrendMicro的安全團隊的說法，2月18日的感染證明是成功的，因為黑客主管在隨機定位的管理級別計算機上進行了一系列嘗試遠程部署Empire PowerShell後期開發代理的失敗嘗試。然而，這種成功可能是由於早期的Dridex感染 ， 這種感染不僅事先發生，而且也沒有被公司忽視。

除了亞利桑那飲料案和2018年末針對幾家企業的一些攻擊之外，這是最近一次網絡犯罪分子在贖金票據的文本中通過名字向受害者發表講話。更重要的是，該公司的名稱也作為附加到所有加密數據的文件擴展名。然而，該說明所說的內容可從以下文字中看出：

你好[受害者的名字]

您的網絡遭到黑客攻擊和加密。網上沒有免費的解密軟件。發送電子郵件給我們[[字符不清晰] @ protonmail.com（或）[字符串] @ india.com以獲取贖金金額。保持聯繫人的安全。披露可能導致解密不可能。請使用您的公司名稱作為電子郵件主題。 TAIL：[隨機字符] KEY：[隨機字符]

贖金票據不僅包含受害者的姓名，還包含加密密鑰。因為後者是成功解密的先決條件。

保存名稱和擴展名，代碼保持不變

如上所述，這不是安全研究人員第一次遇到BitPaymer勒索軟件感染。新案例也沒有採用全新的BitPaymer變體。仔細研究一下代碼，與去年的攻擊相比，沒有顯著差異。唯一的變量似乎是贖金票據中受影響組織的名稱。與之前將".locked"擴展名附加到加密數據的BitPaymer感染不同，2019年2月18日的最新版本使用受害者的名稱。

BitPaymer勒索軟件攻擊強調在系統管理員工具方面需要增強的保護機制，因為它們經常受到剝削嘗試. 此外，運行主動監控服務和反惡意軟件解決方案也不會受到影響。