关注网络与数据安全

忘记密码
“游侠安全网”创建了网络安全从业者QQ大群(群号:389710688) ,欢迎各位同仁加入!有其它问题,请联系站长“网路游侠”,QQ:55984512


黑莓安全研究部门发现针对Windows PC的新“大亨”赎金软件

2020-06-05 09:34 推荐: 浏览: 53字号:

摘要: 据外媒报道, 美国联邦调查局(FBI)的互联网犯罪投诉中心(IC3)去年发布了《网络犯罪报告》。报告显示,网络犯罪在2019年造成了35亿美元的巨大损失。攻击者利用赎金软件从企业和个人用户身上套取金钱。黑莓的安全研究部门最近发现了一种新的赎金软件,影响了欧洲一...

据外媒报道, 美国联邦调查局(FBI)的互联网犯罪投诉中心(IC3)去年发布了《网络犯罪报告》。报告显示,网络犯罪在2019年造成了35亿美元的巨大损失。攻击者利用赎金软件从企业和个人用户身上套取金钱。黑莓的安全研究部门最近发现了一种新的赎金软件,影响了欧洲一家教育机构。与迄今为止发现的大多数赎金软件不同的是,这种新的赎金软件模块被编译成一种Java图像文件格式(JIMAGE)。

fig1-tycoon.png

JIMAGE是一种存储自定义的JRE映像的文件格式,它的设计是为了在运行时被Java虚拟机(JVM)使用。

fig2-tycoon.png

以下是攻击的过程:

  • 为了在受害者的机器上实现持久化,攻击者使用了一种名为映像劫持(Image File Execution Options,IFEO)注入的技术。IFEO设置被存储在Windows注册表中。这些设置给了开发者一个选项,在目标应用程序执行过程中,通过附加调试应用程序来调试他们的软件。
  • 随后一个后门与操作系统的微软Windows屏幕键盘(OSK)功能一起执行。
  • 攻击者利用ProcessHacker工具禁用了组织的反恶意软件解决方案,并更改了活动目录服务器的密码。这使得受害者无法访问他们的系统。
  • 攻击者的大部分文件都被进行了时间限制,包括Java库和执行脚本,文件日期时间戳为2020年4月11日15:16:22
  • 最后,攻击者执行了Java赎金软件模块,对所有文件服务器进行了加密,包括连接到网络的备份系统在内的所有文件服务器都进行了加密。
  • 在提取出与该赎金软件相关的zip文件后,以 "大亨 "为名,共有三个模块。所以,黑莓团队将这个赎金软件命名为 "大亨"。

下面来看看 "大亨 "的赎金说明:

Tycoon-ransomware-ransom-note.jpg

稿源:cnbeta.com

联系站长租广告位!

中国首席信息安全官
Copy link