每周安全速递³¹⁸|Bitdefender发布ShrinkLocker勒索软件解密工具
发布时间:2024-11-15
阅读次数: 18 次
Bitdefender发布ShrinkLocker勒索软件解密工具Bitdefender近日发布了解密工具,帮助ShrinkLocker勒索软件的受害者恢复被加密的文件。该病毒最早由卡巴斯基在2024年5月发现,其特点是利用Windows内置的BitLocker加密工具对受害者的文件进行加密。ShrinkLocker的加密过程不依赖于传统勒索病毒中常见的自定义加密算法,而是通过生成随机密码并利用BitLocker进行加密,从而绕过常规的解密手段。恶意软件会首先检查目标系统是否启用了BitLocker,并在没有启用的情况下自行安装。随后,它会删除所有默认保护措施,使得BitLocker加密只加密磁盘的已用空间,并通过删除BitLocker保护机制来增加恢复难度。用户在系统重启后会看到BitLocker提示,要求输入密码才能解锁加密的驱动器,并显示攻击者的联系邮箱,要求支付赎金获取解密密钥。ShrinkLocker勒索软件还会通过组策略对象(GPO)和计划任务,传播到网络中所有加入域的设备。
https://www.bitdefender.com/en-us/blog/businessinsights/shrinklocker-decryptor-from-friend-to-foe-and-back-again在一起近期的事件响应案例中,研究人员发现了一种新型勒索软件家族,被命名为“Ymir”。该恶意软件在攻击中表现出显著的规避检测能力,其关键特点是通过调用malloc、memmove和memcmp函数在内存中执行大规模操作,以减少磁盘活动,从而避开传统防护措施。分析显示,攻击者首先通过PowerShell远程控制命令成功入侵系统,随后部署了Process Hacker和Advanced IP Scanner等工具,降低系统的安全防护能力。在完成初步准备后,攻击者最终运行Ymir勒索软件达成目的。研究人员在报告中详细解析了Ymir勒索软件的技术特性及其攻击者的战术、技术和程序(TTPs),揭示了从初始入侵到勒索软件部署的完整链条。
https://securelist.com/new-ymir-ransomware-found-in-colombia/114493/
Halliburton披露遭受勒索软件攻击造成3500万美元损失全球能源行业服务巨头Halliburton披露,8月发生的一起勒索软件攻击导致公司损失高达3500万美元。此次攻击迫使公司关闭部分IT系统,并断开与客户的连接,尽管影响被控制在一定范围内,但对业务运营造成显著冲击。Halliburton在全球70个国家开展业务,拥有4.8万名员工,2023年营收超过230亿美元。2024年8月23日,公司向美国证券交易委员会(SEC)提交报告,证实一名未经授权的第三方侵入其系统。为了应对此次入侵,Halliburton采取了系统关闭和隔离措施。几天后,勒索软件团伙RansomHub被确认是此次攻击的幕后黑手。攻击者窃取了公司网络中的部分数据,但具体数据类型和泄露范围仍在调查中。尽管如此,Halliburton在其第三季度财报中指出,此次网络攻击对公司整体财务状况的影响有限。
https://www.securityweek.com/cyberattack-cost-oil-giant-halliburton-35-million/
勒索软件组织Embargo近日威胁,将在未支付赎金的情况下公布1.15TB的数据,涉及美国乔治亚州一家小型社区医院和护理院。此次袭击发生在11月1日,Embargo在暗网公布了倒计时,声称即将泄露从Memorial Hospital and Manor和其附属的Willow Ridge个人护理机构窃取的文件。此次攻击导致该医院的IT系统瘫痪,影响了电子健康记录(EHR)和邮件等关键服务。Memorial Hospital and Manor尚未对事件的最新进展和Embargo的勒索威胁作出回应。该医院曾在社交媒体上发布警示称正在应对勒索攻击,但该声明现已被删除。此外,Embargo在其网站上列出了多个受害者,包括美国的另一家医疗机构Weiser Memorial Hospital及南卡罗来纳州Summerville警察局、密歇根州政府部门、德国供应链公司和澳大利亚一家非放贷银行等。
参考链接:
https://www.govinfosecurity.com/embargo-ransomware-gang-sets-deadline-to-leak-hospital-data-a-26784
据近期多起管理检测和响应(MDR)的案例中,安全研究人员发现威胁行为者利用了Veeam备份服务器中的一个漏洞,同时还部署了一种新的勒索软件 “Frag”,该勒索软件在此之前从未被记录。初始访问时,威胁行为者通常会通过被 compromized 的VPN设备获得初始访问权限。接着通过利用CVE-2024-40711漏洞创建新的管理员账户,进一步渗透目标系统,最后在威胁行为者获得控制权后,便部署勒索软件Frag,该勒索软件的参数可以指定加密受害者单个文件或者整个目录,并且在加密的文件后添加扩展名.frag。
参考链接:
https://news.sophos.com/en-us/2024/11/08/veeam-exploit-seen-used-again-with-a-new-ransomware-frag/
浙公网安备 33010502006954号 
