每周安全速递³⁰⁹｜研究人员披露名为Underground的勒索软件





首页 产品与服务 解决方案 客户案例 技术支持 合作发展 关于美创 用户退出 合作商登录 用户登录 申请试用

行业解决方案政府解决方案金融解决方案医疗解决方案教育解决方案能源解决方案物流交通解决方案

售后服务文档中心年度培训

渠道政策申请成为合作伙伴渠道专区

公司动态行业资讯安全研究

热门阅读

数字医学与健康大会DMHC——美创与您相约古都金陵

2025-08-12

美创科技打造县域医疗灾备新标杆｜神木市医院 HIS 系统数据库分钟级切换演练实录

2025-07-02

百万罚单警示！DCAS助力金融机构筑牢数据安全防线，实现监管合规

2025-06-20

2025中国互联网产业年会丨《中国互联网产业绿色算力发展倡议》正式发布

2025-02-07

美创用户专访 | 精细化管理：医疗行业数据分类分级的策略与实践

2025-01-10

每周安全速递³⁵⁵ | Crypto24勒索软件研发定制EDR规避工具

2025-08-25

每周安全速递³⁵⁴ | Charon勒索软件攻击中东公共与航空部门

2025-08-25

CNVD漏洞周报2025年第29期

2025-08-11

每周安全速递³⁵³ | D4rk4rmy声称入侵摩纳哥豪华集团

2025-08-11

每周安全速递³⁵² | Epsilon Red勒索软件通过ClickFix传播

2025-08-04

每周安全速递³⁰⁹｜研究人员披露名为Underground的勒索软件

发布时间：2024-09-06 阅读次数： 2202 次

本周热点事件威胁情报

研究人员披露名为Underground的勒索软件

第一个Underground勒索软件样本首次发现于2023年7月初，其背后的攻击者在2023年7月13日在其数据泄露网站中发布了第一个受害者的信息。与大多数勒索软件一样，该勒索软件会加密受害者Windows计算机上的文件，并威胁受害者支付赎金。有研究报告表明，位于俄罗斯的RomCom组织，也被称为Storm-0978，利用Underground勒索软件进行攻击活动。该勒索软件运行后会释放名为“!!readme!!!.txt”的勒索信，对文件进行加密但不会添加或更改被加密文件的扩展名。该勒索软件会创建并执行temp.cmd，以删除原始勒索软件，获取并删除Windows事件日志。

‍参考链接：

https://www.fortinet.com/blog/threat-research/ransomware-roundup-underground

研究人员披露一个名为Cicada3301的勒索组织

Cicada3301勒索组织于2024年6月29日，在网络犯罪论坛RAMP中首次发布帖子。该勒索组织已经在其勒索网站中列出了19名受害者。与很多勒索组织类似，Cicada3301执行双重勒索策略，他们从受害者网络中窃取数据，然后对设备中的文件进行加密，并威胁受害者支付赎金以换取泄露的数据。研究人员发现Cicada3301和ALPHV/BlackCat之间存在重叠的恶意代码，表明这两个勒索组织之间可能存在关联。Cicada3301勒索组织使用的加密程序基于Rust进行编写，并针对Windows和Linux/VMware ESXi进行攻击。加密文件时，加密程序会在被加密文件名后附加一个随机的七个字符的扩展名，并创建名为“RECOVER-[extension]-DATA.txt”的勒索信。

参考链接：

https://www.bleepingcomputer.com/news/security/cicada3301-ransomwares-linux-encryptor-targets-vmware-esxi-systems

RansomHub勒索组织对哈里伯顿进行了网络攻击

RansomHub勒索组织是近期对石油及天然气服务公司哈里伯顿（Halliburton）进行网络攻击的幕后黑手，此次网络攻击影响了该公司的IT系统和业务运营。由于相关系统被网络攻击所关闭，其客户无法生成发票或采购订单。哈里伯顿披露了这次攻击事件，称他们于2024年8月21日遭受了网络攻击。虽然哈里伯顿尚未提供有关此次攻击的更多细节及攻击者信息，但安全研究人员在该公司提供的IOC列表中发现了一个名为maintenance.exe的Windows可执行程序，并确认该程序是RansomHub勒索软件加密程序。经分析，该程序相较之前的版本包含一个新的“-cmd string”命令行参数，该参数用于在加密文件之前在设备上执行命令。

参考链接：

https://www.bleepingcomputer.com/news/security/halliburton-cyberattack-linked-to-ransomhub-ransomware-gang

伊朗黑客以美国为目标发起勒索软件和间谍攻击

2024年8月28日，最新报告和联邦咨询警告称，伊朗黑客近期对美国及阿联酋的公共和私营部门发起了系列勒索软件攻击和网络间谍活动。伊朗的网络威胁组织“先锋小猫”（Pioneer Kitten），也称为UNC757和Rubidium等，自2017年以来已经渗透了美国学校、金融机构、医疗设施及市政府等多个组织，近期活动仍在继续。根据联邦调查局、网络安全与基础设施安全局和国防部网络犯罪中心发布的联合咨询，这些攻击者的主要目标是获取和维持对受害网络的技术访问，以便进行未来的勒索软件攻击。

参考链接：

https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-241a

BlackByte勒索软件利用VMware ESXi漏洞发起新一轮攻击

2024年8月28日，BlackByte勒索软件集团被发现利用最近修复的VMware ESXi安全漏洞（CVE-2024-37085）发起新一轮攻击。该漏洞使攻击者能够获得虚拟化平台的管理员权限，进而控制虚拟机和修改服务器配置。研究人员的报告显示，BlackByte还使用了多种易受攻击的驱动程序来绕过安全保护，并在攻击中部署了自我传播的勒索加密器。该组织从2021年下半年开始活跃，历史上以利用ProxyShell漏洞和双重勒索策略而闻名。近期攻击中，黑客利用有效凭据访问受害者VPN，并通过暴力破解获取初始访问权限，随后使用VMware vCenter服务器创建管理员账户以提升权限。

参考链接：

https://blog.talosintelligence.com/blackbyte-blends-tried-and-true-tradecraft-with-newly-disclosed-vulnerabilities-to-support-ongoing-attacks/

美创科技第59号安全实验室，专注于数据安全技术领域研究，聚焦于安全防御理念、攻防技术、漏洞挖掘等专业研究，进行知识产权转化并赋能于产品。自2021年起，累计向CNVD、CNNVD等平台提报数千个高质量原创漏洞，并入选国家信息安全漏洞库（CNNVD）技术支撑单位（二级）、信创政务产品安全漏洞库支撑单位，团队申请发明专利二十余项，发表多篇科技论文，著有《数据安全实践指南》、《内网渗透实战攻略》等。

上一条：每周安全速递³¹⁰｜RansomHub组织利用TDSSKiller安全工具进行攻击
下一条：每周安全速递³⁰⁸|Young Consulting数据遭BlackSuit勒索软件窃取影响近百万用户