2月6日,腾讯御见威胁情报中心发文称,春节期间,某药品经营企业遭遇勒索病攻击,企业多台服务器被加密,影响业务开展。该药品经营企业为保证业务进行,被迫缴纳酬金,结果仅部分文件恢复。腾讯安全企业应急服务中心对该事件进行调查,发现该企业中的勒索病为GarrantyDecrypt家族的新变种HeronpistonRansomware。GarrantyDecrypt勒索病家族最早在2018年下半年被发现,该团伙每隔几个月就会有一次新变种更新发布,先后出现有bigbosshors、nostro、metan、tater等变种。由于采用了RSAsalsa20算法加密,因此一旦被该家族勒索病加密便无法通过第三方解密。目前形式下,医药相关企业已社会宝贵的财富,腾讯安全专家建议相关单位,强化网络安全措施,避免使用弱密码,防止遭遇勒索病攻击。
动态 | 腾讯御见:KingMiner矿工已控制上万服务器:腾讯安全御见威胁情报中心检测到KingMiner变种攻击,KingMiner是一种针对Windows服务器MS SQL进行爆破攻击的门罗币挖矿木马。该木马最早于2018年6月中旬首次出现,并在随后迅速发布了两个改进版本。攻击者采用了多种逃避技术来绕过虚拟机环境和安全检测,导致一些反病引擎无法准确检测。当前版本KingMiner具有以下特点:
1. 针对MSSQL进行爆破攻击入侵;
2. 利用WMI定时器和Windows计划任务进行持久化攻击;
3. 关闭存在CVE-2019-0708漏洞机器上RDP服务,防止其他挖矿团伙入侵,以独占服务器资源挖矿;
4. 使用base64和特定编码的XML、TXT、PNG文件来加密木马程序;
5. 利用微软和多个知名厂商的签名文件作为父进程,“白+黑”启动木马DLL。
根据腾讯安全御见威胁情报中心统计数据,KingMiner影响超过一万台电脑,其中受影响最严重的地区为广东、重庆、北京、上海等地。(腾讯御见威胁情报中心 )[2019/11/26]
动态 | 腾讯御见:京广多地超2万台电脑被挖矿 攻击者利用永恒之蓝漏洞横向扩散:腾讯御见威胁情报中心检测到挖矿木马家族Lcy2Miner感染量上升,工程师对该病的感染进行回溯调查。结果发现,有攻击者搭建多个HFS服务器提供木马下载,并在其服务器web页面构造IE漏洞(CVE-2014-6332)攻击代码。当存在漏洞的电脑被诱访问攻击网页时,会触发漏洞下载大灰狼远程控制木马。接着由远控木马下载门罗币挖矿木马和“永恒之蓝”漏洞攻击模块,然后利用“永恒之蓝”漏洞攻击工具在企业内网攻击传播,最终攻击者通过组建僵尸网络挖矿牟利。
截止目前该团伙已通过挖矿获得门罗币147个,市值约6.5万元人民币。数据显示,该团伙控制的Lcy2Miner挖矿木马已感染超过2万台电脑,影响众多行业,互联网服务、批发零售业、科技服务业位居前三。从病感染的地区分布来看,Lcy2Miner挖矿木马在全国大部分地区均有感染,受害最严重的地区为北京、广东、河南等地。[2019/11/7]
动态 | 腾讯御见:挖矿木马同比提高近5%,新的勒索病层出不穷:据腾讯御见威胁情报中心发文称,企业终端风险中,感染风险软件的仍排行第一,占比达到40%。部分终端失陷后,攻击者植入远控木马(占14%),并利用其作为跳板,部署漏洞攻击工具再次攻击内网其它终端,最终植入挖矿木马或者勒索病。
挖矿木马同比提高近5%,几乎成为当前流行黑产团伙的必备组件。随着比特币、门罗币、以太坊币等数字加密币的持续升值,挖矿成了黑产变现的重要渠道。我们预计挖矿木马占比仍将继续上升。勒索病同比变化不大,但近年新的勒索病层出不穷,一旦攻击成功危害极大。部分受害企业被迫交纳“赎金”或“数据恢复费”,勒索病仍是当前企业需要重点防范的病类型。[2019/8/27]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。