Moneybird 勒索軟件

伊朗黑客組織 Agrius，也稱為 Pink Sandstorm，前身為 Americium，最近開發了一種名為 Moneybird 的新型勒索軟件。這種威脅性惡意軟件已被觀察到專門針對以色列組織，這表明 Agrius 的策略發生了重大轉變。

網絡犯罪分子擴大了他們的威脅武器庫

Agrius 有對以色列實體進行破壞性數據擦除攻擊的歷史，通常將其偽裝成勒索軟件事件。用 C++ 編碼的 Moneybird 的出現展示了該小組不斷增長的專業知識和對創建新網絡工具的持續承諾。

該組織的活動至少可以追溯到 2020 年 12 月，當時Agrius參與了破壞針對南非、以色列和香港鑽石行業的入侵企圖。此前，Agrius 使用了一款名為 Apostle 的擦除器轉勒索軟件，該軟件基於 .NET 框架，其繼任者名為 Fantasy。然而，Moneybird 代表了該組織的重大進步，因為它通過其 C++ 編程語言展示了其不斷發展的網絡能力。

威脅行為者利用安全漏洞獲取訪問權限

Moneybird 勒索軟件採用的攻擊方法展示了高度的複雜性，首先是利用面向 Internet 的 Web 服務器中存在的漏洞。這種最初的利用為攻擊者提供了進入目標組織網絡的關鍵入口點，並通過部署 ASPXSpy Web shell 提供了便利。

一旦進入受感染的網絡，Web shell 就會充當攻擊者的通信渠道，以執行一系列專門為對受害者環境進行廣泛偵察而量身定制的知名工具。這些工具使攻擊者能夠在網絡內橫向移動，收集有價值的憑據，並洩露敏感數據。

Moneybird 勒索軟件配備了高級加密功能

在初始滲透和偵察階段之後，Moneybird 勒索軟件在受感染主機上被激活。該勒索軟件的設計重點是加密位於“F:\User Shares”文件夾中的敏感文件。執行後，勒索軟件會部署贖金票據，給受害者施加巨大壓力，要求他們在 24 小時內建立聯繫，警告他們可能會洩露被盜數據。

Moneybird 勒索軟件採用高度複雜的加密方法，將 AES-256 與 GCM（Galois/Counter 模式）結合使用。這種高級加密技術為每個文件生成唯一的加密密鑰，並在末尾附加加密的元數據。在大多數情況下，Moneybird 實施的精確定位和強大的加密使數據恢復和文件解密的任務即使不是幾乎不可能，也極具挑戰性。

阻止勒索軟件攻擊的重要安全措施

可以實施有效的安全措施來保護設備和數據免受勒索軟件攻擊。首先，維護最新且強大的安全軟件至關重要。定期更新反惡意軟件程序並啟用自動更新有助於抵禦最新的威脅。

為所有帳戶實施強而獨特的密碼是另一個關鍵步驟。這包括使用字母、數字和符號的組合，以及避免使用常見且容易猜到的密碼。此外，啟用多因素身份驗證需要額外的驗證步驟才能訪問帳戶，從而增加了額外的安全層。

定期備份相關數據對於減輕勒索軟件攻擊的影響至關重要。創建離線備份或使用雲存儲解決方案可確保在發生加密或丟失時可以恢復關鍵文件。

在瀏覽 Internet 和與電子郵件交互時保持謹慎是必不可少的。用戶在單擊可疑鏈接或從不受信任的來源下載文件時應持懷疑態度。保持警惕並避免訪問可能有害的網站或處理可疑電子郵件至關重要，因為它們可能包含勒索軟件有效負載。

自我教育並隨時了解最新的網絡安全威脅和攻擊技術是非常有益的。識別網絡釣魚攻擊中使用的常見社會工程策略並了解潛在勒索軟件感染的跡象可以幫助用戶採取主動措施來預防和應對此類攻擊。

定期更新操作系統、應用程序和固件是保持強大安全性的另一個重要方面。補丁和更新通常包括安全修復程序，用於解決可能被勒索軟件和其他惡意軟件利用的漏洞。

通過結合執行這些安全措施，用戶可以增強對其設備和數據的保護，使其免受勒索軟件攻擊的破壞性影響。