Play 勒索软件影响了大约 300 个实体

X0_0X2023-12-19 16:39:35

据澳大利亚和美国发布的最新联合网络安全咨询报告,截至2023年10月,Play 勒索软件背后的黑客影响了大约 300 个实体。

当局表示:“使用Play勒索软件的黑客采用双重勒索模式,在窃取数据后加密系统,影响了北美、南美、欧洲和澳大利亚的广泛业务和关键的基础设施组织。”

Play,又称为 Balloonfly 和 PlayCrypt,于 2022 年出现,利用 Microsoft Exchange 服务器(CVE-2022-41040 和 CVE-2022-41082)以及 Fortinet 设备(CVE-2018-13379 和 CVE-2020-12812)中的安全漏洞,侵入企业并部署文件加密恶意软件。

值得注意的是,根据 Corvus 的数据,勒索软件攻击越来越多地利用漏洞作为初始感染途径,而不是使用钓鱼邮件。这种方式从 2022 年下半年几乎为零,到 2023 年上半年增加到近三分之一。

Play 勒索软件组织使用双重勒索模式

网络安全公司Adlumin在上个月发布的一份报告中指出,他们“提供服务”给其他黑客,这个服务形成了“勒索软件即服务(RaaS)”运营的完整转变。

该组织策划的勒索软件攻击使用 AdFind 等公共和定制工具,运行 Active Directory 查询,使用Grixba 列举网络信息,通过GMER、IOBit 和 PowerTool 禁用防病毒软件,以及使用 Grixba 收集有关备份软件和远程管理工具在机器上安装情况的信息。

观察发现,这些黑客还进行了横向移动、数据外泄和加密步骤,依赖 Cobalt Strike、SystemBC 和 Mimikatz 进行攻击后利用。

“Play ransomware group 采用双重勒索模式,在外泄数据后加密系统,” 这些机构表示。“勒索信息中并不包括初始赎金要求或付款说明,而是指示受害者通过电子邮件联系威胁行为者。”

据 Malwarebytes 汇编的统计数据显示,Play 仅在 2023 年 11 月就已经攻击了近 40 个受害者,但明显少于于其同行 LockBit 和 BlackCat(又称 ALPHV 和 Noberus)。

此警报发布数天后,美国政府机构发布了有关 Karakurt 组的更新公告。该组以纯粹的勒索方式著称,避开了基于加密的攻击方式,而是在获得对网络的初始访问权限后,通过购买被盗的登录凭证、入侵经纪人(又称初始访问经纪人)、钓鱼和已知的安全漏洞等方式进行攻击。

政府表示:“Karakurt 的受害者并未报告受损机器或文件的加密情况;相反,Karakurt 的行为者声称窃取了数据,并威胁将其拍卖或公开发布,除非他们收到所要求的赎金。”

这些进展出现的同时,有人猜测 BlackCat 勒索软件可能成为执法行动的目标,因为其暗网泄露门户网站离线了五天。然而,网络犯罪集体将这次停机归咎于硬件故障。

此外,另一个新兴的名为 NoEscape 的勒索软件组织据称已经了退出这次网络攻击,有效地“窃取了赎金支付并关闭了该组织的网络面板和数据泄漏站点”,促使像 LockBit 这样的其他团伙招募他们以前的联盟成员。

勒索软件的格局在不断变化

勒索软件格局不断演变和转变,不管是否由于执法部门的外部压力,这都并不令人意外。这进一步证实了 BianLian、White Rabbit 和 Mario 勒索软件团伙在针对上市金融服务公司的联合勒索活动中的合作。

“这些合作式的勒索活动并不常见,但可能因暗网中的初始访问经纪人(IABs)与多个团体合作而变得更加普遍,” Resecurity 在上周发布的报告中指出。”导致更多合作的另一个因素可能是执法介入,这造成了网络犯罪分散的局面。这些黑客的被转移者可能更愿意与竞争对手合作。”

软件勒索病毒
本作品采用《CC 协议》,转载必须注明作者和本文链接
事件报道根据CNBC透露的消息,暗网中所有跟REvil勒索软件团伙相关的网站从7月13日开始就全部神秘消失了
为各行业客户解决勒索病毒顽疾
勒索组织频繁发起勒索攻击的同时,也在快速对勒索病毒迭代更新,然而基于病毒特征库的传统杀毒软件遭遇新型勒索病毒时将毫无用武之地;勒索攻击形式多样、后果严重,终端EDR产品无“底线思维”兜底,完全依赖行为检测能力防范勒索病毒风险巨大;同时,基于防火墙、IDS、终端管理的常规解决方案,显然无法抵御已显著具备APT特征的勒索攻击,供应链攻击更使得常规方案在勒索攻击面前“漏洞百出”。为应对勒索病毒对关键信
1月30日,奇安信集团举办“椒图服务器安全管理系统-防勒索专版”产品发布会,推出针对勒索攻击防护的服务器端安全产品。勒索软件成为全球头号威胁,对抗勒索攻击已经迫在眉睫。因此,针对现行防护方案的瓶颈,奇安信提出“观其行、断其路、挖其根”的勒索病毒防护理念,打造的全新一代防护方案。
为此,亚信安全建议,要彻底解决“弹窗”骚扰,同时扫清“弹窗”背后的木马软件勒索病毒、挖矿病毒等安全威胁,需要部署信端终端安全管理系统,更需要进一步建立终端安全一体化的防护平台。其次,一站式方案构建终端安全平台,全面覆盖威胁防御和终端安全管理,支持大规模分级部署、支持多级管理架构,并可与亚信安全其他产品,以及第三方管理平台集成实现智能联动和统一管理。
12月21日,由ZOL联合行业协会举办的科技无疆·2020年度科技产品大奖评选结果正式公布。本次评选对今年新发布上市的各类科技产品进行评估,涉及16个科技大类,80余条细分产品线。经过初选、复选和终审的层层角逐,最终选拔出今年的年度卓越产品奖、年度优秀产品奖、年度推荐产品以及年度行业创新奖。其中,在企业安全产品线中,绿盟WEB协同安全解决方案WAAP、华为USG6655E系列AI防火墙获荣获202
从“黑掉卫星”挑战赛分析美太空安全攻击手段
CryptON勒索病毒, 又称为X3M、Nemesis、Cry3勒索。近日,安全专家捕获到CryptON勒索病毒的最新变种,后缀格式为.firex3m。
对这款勒索病毒与CrySiS勒索病毒相关的信息,可以去参考笔者之前的一篇文章,里面有详细的介绍。
受影响的系统包括电子邮件、车载计算机和一些执法数据库。
X0_0X
暂无描述