安全研究 >> 安全研究详情

本周安全资讯(1.13 - 1.17)

作者: 美创科技安全实验室整理发布日期: 01月17日

勒索病毒



1

Ako勒索软件使用垃圾电子邮件感染受害者

研究人员近日报告了Ako勒索软件,Ako一直保持活跃,其受害者人数不断上升。根据最新的检测分析,研究人员发现了Ako勒索软件是通过垃圾邮件进行分发,电子邮件附件是一个受密码保护的Agreement.zip文件,电子邮件中提供了密码“2020”。解压zip文件后,将提取包含一个名为Agreement.scr的可执行文件,该可执行文件在执行后将安装Ako勒索软件。


2

Sodinokibi勒索软件首次发布被盗用户数据

由于受害者未支付赎金,Sodinokibi勒索软件幕后攻击者首次发布了被盗数据。自上个月以来,Sodinokibi(也称为REvil)幕后攻击者公开表示,将开始效仿Maze勒索软件,公布不支付赎金的受害者信息。攻击者在恶意软件论坛上发布了大约337MB所谓被盗受害者文件的链接,并声称这些数据属于Artech信息系统,如果不支付赎金,将公布更多的信息。目前,Artech的站点已关闭,尚不清楚是否是由于此攻击所致。


3

Ryuk勒索软件使用局域网唤醒功能来加密脱机设备

SentinelLabs研究人员针对Ryuk勒索软件最新分析,发现Ryuk使用局域网唤醒(Wake-on-Lan)功能来打开受感染网络上已关闭电源的设备,从而加密设备。局域网唤醒是一项硬件功能,通过向设备发送特殊的网络数据包,可以将已关闭电源的设备唤醒或打开电源。



挖矿病毒



1

国际刑警组织Goldfish Alpha行动打击非法挖矿活动

国际刑警组织Goldfish Alpha行动,通过打击在东南亚运营的非法挖矿活动,将受感染设备的数量减少78%。该行动于2019年6月启动,专家首先确定了受感染的设备,然后提醒受害者安装可锁定恶意代码的安全补丁。此次活动中,攻击者利用针对存在漏洞的MikroTik路由器,通过改变设备的配置,在用户的网络流量中注入Coinhive加密货币挖矿脚本。


2

安全厂商披露医疗技术公司遭到挖矿攻击

Guardicore Labs在2019年12月份发现了一家医疗技术领域中型公司遭到恶意软件攻击,将基于开源XMRig的门罗币挖矿模块隐藏在WAV文件中,攻击者试图利用EternalBlue漏洞,通过感染运行Windows 7的计算机来在组织内传播。该活动因被感染计算机蓝屏死机被初始发现,研究人员通过分析,在注册表中发现了base64编码的Powershell脚本,解码后,该脚本首先检查系统体系结构。然后,它读取上述注册表子项中存储的值,并使用Windows API函数将值加载到内存中,该代码即有效载荷是通过获取并调用函数指针委托来执行。



服务热线:400-711-8011
Copyright ©2005-2020 杭州美创科技有限公司. All Rights Reserved. 浙ICP备12021012号-1