自4月以来,一个相对较新的勒索软件家族(Sodinokibi(被趋势科技检测为RANSOM.WIN32.SODINOKIBI.A))的攻击者一直在不断探索不同的传递媒介:恶意垃圾邮件,易受攻击的服务器,甚至是受管服务器提供商(MSP)。 。 鉴于对分发进行了激进的试验,勒索软件领域中这个雄心勃勃的新玩家似乎正在努力获得动力并迅速传播。 6月23日,威胁分析师nao_sec使用另一种新的分发技术发现了勒索软件-它是通过恶意传播的,它也将受害者定向到RIG攻击工具包。
Nao_sec向Bleeping Computer报告说,推动Sodinokibi的恶意广告位于PopCash广告网络上,并且某些条件会将用户重定向到漏洞利用工具包。 分析人员还能够演示如何通过恶意广告安装勒索软件。
过去的Sodinokibi事件
4月下旬,据报道,一个黑客组织正试图滥用Oracle WebLogic服务器中的一个关键漏洞来传播Sodinokibi勒索软件。 这是特别危险的,因为勒索软件不需要用户交互-它通常涉及诱骗受害者启用恶意宏或单击链接下载勒索软件。 在这种情况下,黑客只是利用该漏洞将勒索软件推送到WebLogic服务器上。 五月份,看到了针对德国受害者的恶意垃圾邮件运动。 垃圾邮件被伪装成丧失抵押品赎回权的陈述。 邮件的紧迫性迫使受害者不得不允许宏访问恶意附件,该恶意附件会下载勒索软件。
本月初,一个黑客组织滥用MSP将勒索软件部署到客户网络上。 根据报告,三个主要的MSP通过暴露的远程桌面终结点(RDP)被破坏。 黑客能够从这些受感染的端点进一步转移到受感染的系统中。 他们能够卸载AV产品并滥用管理软件(MSP用于监视工作站)在远程工作站上执行恶意脚本并安装Sodinokibi勒索软件。
[阅读:狭窄的视野,更大的收获:2019年的勒索软件]
如何防范勒索软件
Sodinokibi现在正在使用多种媒介感染受害者。 修补和更新对于防御这种勒索软件非常重要,尤其是因为它们滥用的大多数漏洞已经具有可用的修复程序。 用户需要更新其系统,并为其配备最新版本的软件和硬件。
由于Sodinokibi还依赖于其他技术,例如发送垃圾邮件或网络钓鱼电子邮件,并继续向其军械库添加更多的传递方法,因此对于组织而言,实施安全性最佳实践非常重要: 该组织的所有用户都应定期备份其数据,以确保即使在成功的勒索软件攻击之后也可以检索到数据。 用户应警惕可疑的电子邮件; 除非收件人确定来自合法来源,否则请避免单击链接或下载附件。 将系统管理工具的使用限制为需要访问权限的IT人员或员工使用。 趋势科技勒索软件解决方案
企业可以从多层方法中受益,以最大程度地减轻勒索软件带来的风险。 在端点级别,Trend Micro Smart Protection Suite提供了多种功能,例如高保真机器学习,行为监控和应用程序控制以及漏洞屏蔽功能,可将这种威胁的影响降到最低。 趋势科技威胁发现设备可检测和阻止网络上的勒索软件,而趋势科技趋势科技服务器深度安全防护系统则可阻止勒索软件到达企业服务器-物理,虚拟或云中。 趋势科技趋势科技服务器深度安全防护系统,漏洞防护和TippingPoint提供虚拟补丁程序,可保护端点免受利用未修补漏洞提供勒索软件的威胁的侵害。
电子邮件和Web网关解决方案,例如趋势科技™深度发现™电子邮件检查器和InterScan™Web安全性,防止了最终用户使用勒索软件。 趋势科技的Cloud App Security(CAS)通过使用针对勒索软件和其他高级威胁的尖端沙箱恶意软件分析,可以帮助增强Office 365应用程序和其他云服务的安全性。
这些解决方案由趋势科技XGen™安全性提供支持,该安全性针对数据中心,云环境,网络和端点的各种威胁提供了跨代的威胁防御技术组合。 智能,优化和连接的XGen™为趋势科技的安全解决方案套件提供了支持:混合云安全性,用户保护和网络防御。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢