比特币:“WannaRen”勒索病攻击源曝光,360安全大脑独家揭秘幕后“匿影”

最近,一种名为“WannaRen”的新型比特币勒索病正大规模传播,在各类贴吧、社区报告中招求助人数更是急剧上升,真可谓闹得满城风雨!不幸感染“WannaRen”勒索病的用户,重要文件会被加密并被黑客索要0.05BTC赎金。

在检测异常的第一时间,360安全大脑率先出击,首家发现“WannaRen”勒索病来源并且关联到幕后黑客团伙,并首家分析出真正的勒索攻击代码。经360安全大脑分析确认,“WannaRen”勒索病的作者正是此前借“永恒之蓝”漏洞祸乱网络的“匿影”组织。

此次“匿影”组织一改借挖矿木马牟利的方式,变换思路通过全网投递“WannaRen”勒索病,索要赎金获利。不过,广大用户不必太过担心,360安全大脑极智赋能下的360安全卫士已第一时间发现并支持对“WannaRen”新型勒索病的拦截查杀。

以色列税务机构指控“Western Wall”NFT创造者涉嫌逃税,涉案逾200万美元:3月5日消息,根据以色列税务机关周五的一份报告,该机构正在调查两名NFT创作者的逃税情况。两人名为Avraham Cohen和Antony Polak,系holyrocknft.com网站的所有者。据税务当局透露,两人通过该网站出售了基于Western Wall石头的3D扫描创建的NFT,但并未如实报税。

调查显示,自2021年以来,嫌疑人已经出售了1700件作品,并获得了620枚以太坊的付款,在交易时相当于约800万新谢克尔(约合218万美元)。根据这些发现,这些收入实际上是商业收入——但两人并没有如此报告。嫌疑人收到的部分资金甚至在数字钱包之间进行了转移,因此有可能存在非法藏匿财产的嫌疑。

主审此案的法官在限制性条件下释放了嫌疑人,这些条件包括交出他们存储以太坊的数字钱包。(The Jerusalem Post)[2023/3/5 12:43:41]

谁是“匿影”组织?“加密币挖掘机”变身“勒索病投递者”

杰克·多西旗下比特币公司TBD为“Web5”寻求商标保护:11月30日消息,推特公司前首席执行官杰克·多西(Jack Dorsey)旗下专注于比特币的子公司TBD正在寻求为Web5名称注册商标,TBD发推称:“我们最近注意到Web5一词被应用于与我们提出的Web5宗旨截然相反的产品和服务,因此,决定为Web5寻求保护,Web5原意指的是一个真正开放的、去中心化的新互联网层。最终,我们希望建立一个由公司、个人和其他利益相关者组成的联盟来维护这些标准,以便使得Web5能够真正成为一种公共产品。”(CoinDesk)[2022/11/30 21:11:07]

从360安全大脑追踪数据来看,“匿影”家族在加密货币非法占有方面早有前科。早在以往攻击活动中,“匿影”家族主要通过“永恒之蓝”漏洞,攻击目标计算机,并在其中植入挖矿木马,借“肉鸡”挖取PASC币、门罗币等加密数字货币,以此牟利发家。

以太坊开发平台Tenderly推出节点产品“Web3 Gateway”:11月3日消息,以太坊开发平台Tenderly宣布推出节点产品“Web3 Gateway”,帮助Web3开发人员读取、传输和分析区块链数据,该产品建立Tenderly的可观察性堆栈之上,据称该堆栈索引了20多个区块链网络中超过90亿笔交易,其直接竞争对手是Infura背后公司ConsenSys、以及节点提供商Alchemy。Tenderly在2021年7月完成1530万美元A轮融资,之后在2022年3月完成4000万美元B轮融资。(thebharatexpressnews)[2022/11/3 12:12:25]

在攻击特征上,“匿影”黑客团伙主要利用BT下载器、激活工具等传播,也曾出现过借“永恒之蓝”漏洞在局域网中横向移动扩散的情况。“匿影”黑客团伙在成功入侵目标计算机后,通常会执行一个PowerShell下载器,利用该加载器下载下一阶段的后门模块与挖矿木马。

Wasabi钱包2.0将引入隐私增强“WabiSabi”:金色财经报道,注重隐私的比特币钱包Wasabi报告称,在发布Wasabi钱包2.0方面取得了重大进展。Wallet 2.0将引入隐私增强“WabiSabi”,这是一种更高效的 CoinJoin框架。据悉,Wasabi 2.0计划分三个阶段发布。[2021/7/8 0:35:02]

而此次新型比特币勒索病“WannaRen”的扩散活动中,从表面看与此前的“WannaCry”病类似,都是病入侵电脑后,弹出勒索对话框,告知已加密文件并向用户索要比特币。但从实际攻击过程来看,“WannaRen”勒索病正是通过“匿影”黑客团伙常用PowerShell下载器,释放的后门模块执行病。

旧瓶装新:“匿影”家族后门模块下发“WannaRen”勒索病

正如上文所述,“匿影”组织转行勒索病,但其攻击方式是其早起投放挖矿木马的变种。唯一不同,也是此次“WannaRen”扩散的关键,就在于PowerShell下载器释放的后门模块。

从360安全大脑追踪数据来看,该后门模块使用了DLL侧加载技术,会在“C:\ProgramData”释放一个合法的exe文件WINWORD.EXE和一个恶意dll文件wwlib.dll,启动WINWORD.EXE加载wwlib.dll就会执行dll中的恶意代码。

后门模块会将自身注册为服务,程序会读取C:\users\public\you的内容,启动如下图所示的五个进程之一并将“WannaRen”勒索病代码注入进程中执行。

在注入的代码中,可以看到是此次勒索病的加密程序部分:

完整的攻击流程如下面两图所示:

追踪过程中,360安全大脑还发现“匿影”组织下发的PowerShell下载器中,包含了一个“永恒之蓝”传播模块。该模块会扫描内网中的其他机器,一旦有机器未修复漏洞就会惨遭感染,成为又一个“WannaRen”勒索病受害者。

除此之外,PowerShell下载器还会在中招机器上安装一个名叫做的everything后门,利用everything的“HTTP服务器”功能安全漏洞,将受害机器变为一台文件服务器,从而在横向移动时将木马传染至新的机器中。

不难看出,企业用户一旦不幸中招,“WannaRen”勒索病则可能在内网扩散。不过广大用户无需过分担心,360安全卫士可有效拦截此勒索病。面对突袭而来的“WannaRen”勒索病,360安全大脑再次提醒广大用户提高警惕,并可通过以下措施,有效防御勒索病:

1、及时前往weishi.360.cn,下载安装360安全卫士,查杀“匿影”后门,避免机器被投递勒索病;

2、对于安全软件提示病的工具,切勿轻信软件提示添加信任或退出安全软件运行;

3、定期检测系统和软件中的安全漏洞,及时打上补丁。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:15ms0-1:51ms