HAKBIT 勒索软件袭击企业个人,正通过网络钓鱼电子邮件传播
Proofpoint的研究人员公布了一项关于Hakbit勒索软件的调查结果。如他们的博客文章所述,勒索软件通过鱼叉式网络钓鱼电子邮件进行传播,这些电子邮件针对的是“制药,法律,金融,商业服务,零售和医疗保健部门的中层职位”的个人。这些攻击被称为小批量攻击,专门针对位于奥地利,瑞士和德国的组织的员工。
当Proofpoint分析了由Hakbit 勒索软件加载的电子邮件时,他们发现了邮件结构的特定模式。电子邮件使用适用于目标行业的语言,试图欺骗目标以下载名为379710.xlsm的Excel宏。所涉及的文档以及有关该电子邮件的说明如下:
由于宏和恶意软件无法在移动设备上运行,因此该消息会指示收件人使用计算机来阅读附件。打开后,电子表格会以德语和英语指示收件人以启用宏…在电子表格中启用宏后,它将下载并执行GuLoader …当GuLoader运行时,它将下载并执行Hakbit,这是一种勒索软件,使用AES-256加密文件。”
一旦系统成功被Hakbit感染,它会显示一条相当幼稚的消息,指出“ YOU ARE HACKED”,并提供指向.txt文档的链接。这份用德语和英语写的文件是赎金记录。它需要大约相当于250欧元的比特币以及有关如何再次访问该机器的说明。
截至本文撰写时,Proofpoint研究人员尚未找到任何人支付赎金的证据。由于勒索软件攻击,尤其是鱼叉式网络钓鱼活动中包含的勒索软件攻击已被证明是有效的,因此这可能会改变。
值得注意的是,Proofpoint通过以下观察总结了他们的研究成果:
Proofpoint研究人员最近通过大规模的Avaddon勒索软件活动确定了威胁格局的转变,该活动与最近的开源供应商报告相一致。Hakbit体现了以用户为中心的勒索软件活动,该活动针对特定的受众,角色,组织和用户的母语而定制。
这种趋势是否会持续下去尚待确定。但是,安全专业人员应注意这一转变并做出相应计划,这是明智的。
