勒索软件攻击流程(合集11篇)

Emsisoft强调了在美国成功的勒索软件攻击的大幅下降。

恶意软件实验室Emsisoft在4月21日的报告中显示，在2020年第一季度期间，针对美国公共部门的成功勒索软件攻击数量大幅下降。

调查结果显示，今年第一季度共有89个组织成为勒索软件的受害者。随着新型冠状病毒肺炎危机的加深，成功的攻击甚至更低，降至“几年未见”的水平。

政府实体受到攻击的频率降低，从1月份的19下降到3月份的7。教育方面也是如此：1月成功袭击10次，2月14次袭击，3月2次袭击。医疗保健从1月份的10起袭击到本季度的3月份仅有3起结束。

下降趋势一直持续到第二季度。在4月1日至4月20日之间，仅记录了7次成功的攻击。

一切都与新型冠状病毒肺炎危机有关

作为Emsisoft的详细信息，这种下降很容易归因于新型冠状病毒肺炎大流行。全世界范围内非必需服务的暂停很容易减少组织的攻击媒介。

Emsisoft表示，尽管在家工作有可能使员工在网络安全方面使他们的组织容易受到攻击，但这同时也“矛盾地”对黑客提出了新的挑战。

Emsisoft威胁分析师Brett Callow在接受Cointelegraph采访时解释了这些挑战：“在设置其基础结构以支持在家工作时，组织可能会利用该机会来加强围绕远程访问的安全性，而这种攻击经常被攻击用来获取对公司网络的访问权限。此外，对于勒索软件攻击者来说，很明显，当他们击中公司端点时，他们已经成为潜在有价值的目标。但是，当他们访问员工在远程工作时正在使用的个人设备时，这种情况可能不太明显，该设备只是间歇性地连接到公司资源。“

Emsisoft澄清说，这种勒索软件的减免可能只是“临时的”。该公司的首席技术官Fabian Wosar说：“公司在财务上受到损害，许多公司依靠政府支持计划来维持生存。我完全预计，在未来几周内遭受勒索软件攻击的一些公司将会失败；攻击将成为破坏骆驼的稻草。”

在一个未知团伙发起勒索软件攻击之后，诺克斯维尔市不得不关掉其IT基础架构。

一个身份不明的勒索软件团伙袭击了田纳西州的IT网络诺克斯维尔市，驱使官员在6月12日关掉了全部系统。据当地新闻台WVLT称，攻击发生在6月10日至11日之间的某个时间，对网络基础结构中的全部文件开展了加密。

这次袭击驱使内部IT网络的工作站被关掉，这也使互联网与市长的基础设施，公共网站甚至诺克斯维尔法院的连接断开。

FBI现阶段正协助调查，虽然攻击背后的勒索软件组的身份并未透露。

诺克斯维尔专业的官方声明

诺克斯维尔市市长和前WWE摔跤手格伦·雅各布斯（GlennJacobs）通过诺克斯维尔政府的官方Twitter声明发表声明：

“无论防御系统多么出色，任何人或任何政府都可能发生网络攻击。在很多状况下，这不是“如果”的问题，反而是“时间”的问题。我们的IT部门已与该城市联系，我们随时准备在他们需要时提供帮助。”

诺克斯维尔（Knoxville）与亚特兰大，巴尔的摩，丹佛，新奥尔良及其别的较小城市同样，变成最近几个月来勒索软件组织针对的美国城市。

Cointelegraph近期报道说，NetWalker勒索软件团伙攻击了密歇根州立大学或MSU。那时候，该团伙扬言要泄露学生的记录和财务文件。可是，该大学的官员表明，他们并不会支付赎金。

恶意软件小组NetWalker对奥地利的威兹村发动勒索软件攻击。这次攻击影响了公共服务系统，并泄露了一些从建筑应用程序和检查中窃取的数据。

据网络安全公司熊猫安全（Panda Security）称，黑客通过与COVID-19危机有关的网络钓鱼电子邮件，成功侵入了该村的公共网络。

以COVID-19为诱饵部署勒索软件

这些电子邮件的主题是“关于冠状病毒的信息”，用来诱使Weiz公共基础设施的员工点击恶意链接，从而触发勒索软件。

Panda Security声称，该攻击属于勒索软件家族的一个相对较新的版本，该家族使用VBScripts进行传播。如果感染成功，它会在受感染计算机连接的整个Windows网络中传播。

报告详细说明勒索软件终止Windows下的进程和服务，加密所有可用磁盘上的文件，并消除备份。

奥地利各大公司的位置

威兹是一个小村庄，被认为是奥斯特施泰尔马克地区的经济中心，位于距离格拉茨市几公里的地方。

这也是一些大公司，如汽车制造商麦格纳和建筑公司斯特罗布建设和列布包韦兹，建立了他们的生产工厂的地方。这可能表明攻击不是随机的，而是针对特定的目标。

Netwalker集团最近发起了几起针对全球医疗行业的攻击。

西班牙《每日电讯报》3月25日报道了一起针对西班牙医院的袭击事件。此攻击还使用钓鱼电子邮件将勒索软件部署到目标系统。

Verizon的这份报告重点讲解了跨教育服务的勒索软件攻击的数量连续不断增加。

2020年，全球教育服务见证了勒索软件攻击的激增。依据Verizon的2020年数据泄露调查研究报告，勒索软件攻击约占遭到的全部网络攻击的80％。

数据说明，这类事件中有92％是出自于经济原因，而仅有3％的目地是对从事教育活动的企业开展间谍活动。

自2019年至今，勒索软件攻击大幅度增加

勒索软件攻击正以惊人的速度增长。目前，勒索软件占全部网络攻击的绝大多数，勒索软件在2019年仅占全部攻击的48％。网络钓鱼在一定程度上应归咎于勒索软件-勒索软件攻击更常见的是通过假网站而不是电子邮件。

Verizon报告还说，攻击者甚至不需要自己就能完成工作，他们可以将恶意软件作为服务租用。Verizon进一步指出，众多公司仍然缺乏针对勒索软件的保护，这也解释了这种情况的增加。

CaseyEllis是安全公司Bugcrowd的创始人兼CTO。他在对Cointelegraph的讲话中强调指出，在COVID-19时代，众多公司非常容易遭受勒索软件的兴起：

“伴随着越来越多的组织迁移到远程工作，我们可以预期会看见针对远程工作员工的针对性更强的勒索软件攻击。攻击者将利用外围的漏洞，利用网络漏洞开展更有效和更具有破坏性的网络钓鱼攻击，比如说子域接管。大量紧急域和配置更改。”

虽然勒索软件主要是由众所周知的漏洞执行的，但埃利斯希望全部行业的复杂攻击都在增加。

IB集团的一项研究揭示了新发现的ProLock勒索软件攻击的作案手法。

近几个月来，出现了一种新型的勒索软件攻击，这在网络安全界和美国联邦调查局（FBI）等机构中发出了危险信号。根据5月17日发布的一份报告，网络安全公司Group-IB警告说它采用了木马的形式。

根据Group-IB的研究，该勒索软件被称为ProLock，它依靠Qakbot银行木马发起攻击，并要求目标客户以BTC支付的六位数美元勒索赎金来解密文件。

受害者名单包括地方政府，金融，医疗保健和零售组织。其中，Group-IB认为最值得注意的攻击是针对ATM提供商Diebold Nixdorf。

ProLock攻击中的总付款为35 BTC

FBI 详细介绍说，ProLock攻击最初是通过通常发送Microsoft Word文档的网络钓鱼电子邮件来访问受害者网络的。然后，Qakbot会干扰配置远程桌面协议，并窃取具有单因素身份验证的系统的登录凭据。

根据Group-IB的说法，勒索软件攻击要求总共支付35 BTC，截至发稿时，其价值为337,750美元。但是，Bleeping Computer的一项研究表明，ProLock每次攻击平均需要175,000到660,000美元，具体取决于目标网络的大小。

恶意软件实验室Emsisoft的威胁分析师Brett Callow与Cointelegraph进行了交谈，解释了有关此新网络威胁的一些详细信息：“ ProLock是不寻常的，因为它是用Powershell和Shellcode组装并部署的。恶意代码存储在XML，视频或图像文件中。值得注意的是，犯罪分子提供的ProLock解密器在解密过程中无法正常工作并且破坏了数据。”

卡洛补充说，尽管Emsisoft开发了一个解密器来恢复受ProLock影响的受害者数据而不会造成损失，但是这种软件并不能消除支付赎金的需要，因为它依赖于犯罪分子提供的密钥。

ProLock不会泄漏被盗的数据

尽管ProLock操作员使用的技术类似于过滤勒索软件（Sodinokibi和Maze）的已知勒索软件组的技术，但Group-IB澄清了以下内容：“尽管与同行不同，ProLock运营商仍然没有一个网站来发布拒绝支付赎金的公司的窃取数据。”

最新的勒索软件攻击

Cointelegraph最近几周报告了几起勒索软件攻击。

勒索软件组织Maze 于5月19日声称对美国鸡蛋生产商Sparboe进行了黑客攻击，并在网站上泄漏了初步信息以证明他们实施了攻击。

一个名为REvil的勒索软件团伙最近扬言要从LadyGaga，Elton John，Robert DeNiro，Madonna等世界最大的音乐和电影明星中释放近1TB的私人法律秘密。

Proofpoint研究表明，在COVID-19大流行中，基于网络钓鱼的勒索软件攻击正在上升。

网络安全公司Proofpoint发布的一项研究表明，过去几个月来，用于发送勒索软件的基于电子邮件的网络钓鱼攻击有所增加。

根据该报告，据报道，勒索软件的第一阶段部署正在上升，并且主要针对美国，法国，德国，希腊和意大利。

这些攻击似乎是利用现在COVID-19大流行期间在家中工作的人的涌入。研究还表明，与这些攻击中通常看到的数量相比，赎金要求非常低。

低于平均赎金

一个名为“先生”的勒索软件应用程序。过去，“机器人”主要针对美国境内的人员和公司。调查结果表明，近几个月来这种情况发生了变化，家庭用户成为了攻击的主要受害者。为了反映该软件的新用例，赎金金额已降低至100美元的比特币（BTC）。

名为Avaddon的勒索软件在一周内分发了超过一百万条消息。它也以美国公司和个人为目标。

Avaddon的黑客提供“ 24/7支持”

Avaddon背后的黑客通常要求以比特币之类的加密货币支付800美元的赎金。有趣的是，这个特殊的团队为其受害者提供了“ 24/7支持”服务，向他们提供有关如何支付赎金以及加密货币如何工作的建议。

最近几天，网络安全公司Symantec 阻止了针对30家美国公司和财富500强公司的勒索软件攻击。

微软发布了一种新型的人工勒索软件“ PonyFinal”，该软件通过手动启动有效载荷来部署攻击。

微软的安全团队透露了一种新的勒索软件，该勒索软件已部署在人为攻击中。它对目标公司的系统管理服务器使用“暴力手段”，主要针对在COVID-19危机中的医疗保健部门。

根据科技巨头5月27日发布的一系列推文，名为“ PonyFinal”的人工勒索软件攻击要求黑客破坏公司网络的安全方案，以便手动部署勒索软件。

这意味着PonyFinal无需依靠诱骗用户通过网络钓鱼链接或电子邮件来启动有效负载。

基于Java的勒索软件攻击

基于Java的Pony Final部署了Java Runtime Environment或JRE。微软发现的证据表明，攻击者使用从系统管理服务器窃取的信息来锁定已安装JRE的端点。

该报告进一步指出，勒索软件是通过包含两个批处理文件的MSI文件交付的，其中包括将由攻击者激活的有效负载。

微软威胁防护研究总监Phillip Misner 澄清说，还有其他人为操作的勒索软件活动，例如Bitpaymer，Ryuk，Revil和Samas。PonyFinal于4月初首次被发现。

超过一组攻击者正在使用PonyFinal

该报告强调指出，作者身份不能归因于一组攻击者，因为几个黑客团体正在使用这种形式的勒索软件。

恶意软件实验室Emsisoft的威胁分析师Brett Callow在Cointelegraph的讲话中提供了有关PonyFinal的以下反馈：“诸如PonyFinal之类的人工勒索软件并不罕见，其交付方式也不罕见，据微软称，这是“对目标公司的系统管理服务器的暴力攻击。” 对面向Internet的服务器的攻击一点都不罕见，在勒索软件事件中占相当大的比例。但是，这些攻击也是可以预防的，因为此类攻击通常仅由于安全漏洞或漏洞而成功。

Callow补充说，通过遵循最佳实践，公司可以大大降低成功遭到攻击的可能性：使用多因素身份验证，及时打补丁并在可能的情况下禁用PowerShell。

冠状病毒大流行中最新的勒索软件攻击

在COVID-19危机期间，勒索软件攻击继续在世界各地进行，许多针对医疗保健公司。

Cointelegraph 在3月30日报道说，Ryuk勒索软件的运营商继续将医院作为攻击目标。

据报道，5月7日，黑客使用名为Snake的勒索软件感染了欧洲最大的私立医院（位于德国的费森尤斯）的IT基础架构。

赛门铁克透露，在网络安全公司发出预警后，WastedLocker勒索软件攻击被及时阻止。

网络安全公司赛门铁克阻止了一个以勒索软件为名的组织的攻击，该组织以比特币（BTC）的付款为目标，这些组织针对30家美国公司和财富500强公司。

网络安全公司发布的公告称，攻击背后的恶意软件团伙Evil Group瞄准了公司的IT基础架构。尽管如此，公司仍及时得到警告，以防止勒索软件的部署。该组织使用了勒索软件WastedLocker，并设法破坏了受害者网络的安全性，但未成功地为进行攻击奠定基础。

帮派要求支付百万美元

Cointelegraph最近报道了NCC集团下属的网络安全公司Fox-IT进行的一项研究，警告称，经过短暂的平静之后，Evil Group的网络犯罪活动将重新发生。

该团伙因要求受害者以比特币之类的加密货币支付数百万美元的赎金而闻名。有报道称，该组织一直在向不明数量的最近遭到攻击的美国公司索要10美元的资金。

赛门铁克的有针对性的攻击云分析团队首先依靠高级机器学习来发现与近期有针对性的攻击有关的活动模式，从而检测出WastedLocker攻击的早期阶段。

邪恶集团针对31家公司进行了封锁攻击，其中一家是一家海外跨国公司在美国的子公司。

受影响最大的部门

赛门铁克没有确定目标受害者，但该网络安全公司的报告称，制造业受到的影响最大，因为该团伙针对与该行业有关的五个组织。

根据赛门铁克的说法，如果攻击者没有受到干扰，“成功的攻击可能导致数百万美元的损失，停机时间，并可能对供应链造成多米诺骨牌效应。”

由于指控成员伊戈尔·奥列戈维奇·图拉舍夫（Igor Olegovich Turashev）和马克西姆·维克托罗维奇·雅库贝特斯（Maksim Viktorovich Yakubets）受到起诉，Evil Group此前已停止运营至2020年1月。

根据BBC新闻近期的报道，在本月稍早勒索软件攻击后，加利福尼亚大学旧金山分校向黑客支付款了114万美元的比特币。

据信，Netwalker勒索软件组织是此次攻击的幕后黑手，该攻击对医学院服务器上的数据开展了加密，使其暂时性无法访问。黑客最开始规定300万美元，但在与UCSF开展暗网谈判后，他们同意了114万美元的赎金。

大学将116.4比特币迁移到Netwalker的电子钱包后，获得了这种解密工具来解锁被攻击阻止的数据。

虽然该大学没有具体说明哪些数据受到了影响，但其网站上发布的一份声明说，它目前不相信患者的病历已经暴露。据该大学称，该事件还没有影响到患者护理交付操作或COVID-19相关工作。

UCSF告知BBC新闻，它现如今正帮助FBI开展调查，与此同时还致力于恢复被删除的数据。在过去的几个月中，Netwalker小组还与其他两所大学的勒索软件攻击有关。

一家美国旅行管理公司在其公司文件被勒索软件攻击锁定后，已经用比特币赚了一大笔钱。

根据路透社周五的报告，旅游公司CWT支付了414比特币赎金（当时价值450万美元），作为恢复由Ragnar Locker勒索软件加密的敏感文件的交易的一部分，该文件使文件无法访问，直到赏金被支付为止。

路透社称，黑客表示，该公司的3万台计算机遭到了攻击，尽管此后一直遭到一名熟悉调查的人士提出质疑。

黑客与CWT之间的对话已于周六公开，这使人们对如何达成恢复公司文件的交易提供了难得的见解。

在对话中，可以看到CWT代表询问如何恢复其文件以及需要采取哪些步骤来解决该问题。

该公司随后在一份声明中确认其系统已恢复在线并且该事件已通过，但由于正在进行的调查，拒绝进一步置评。

CWT还表示，在意识到这一事件后，已立即通知美国和欧盟相关执法机构。

迷宫勒索软件组织威胁要从Threadstone Advisors，LLC泄漏被盗数据。

勒索软件团伙迷宫再次罢工。这次，受害者是一家总部位于美国的独立咨询公司，专门从事消费和零售领域。他们有许多大客户，包括女商人和前香料女郎维多利亚·贝克汉姆。

Maze的官方黑暗网络博客将Threadstone Advisors，LLC列为最近24小时遭受攻击后的受害者之一。

Threadstone Advisors，LLC与Victoria Beckham一起与NEO投资伙伴建立了投资联络。咨询公司的客户包括Charles S. Cohen，匹兹堡酿酒公司和Xcel Brands。

被盗的数据泄漏“即将到来”

截至发稿时，迷宫泄露了Threadstone董事总经理约书亚·戈德堡（Joshua Goldberg）的信息。该组织称，进一步窃取数据的证据“即将到来”。

这样的威胁可能意味着该公司没有支付该团伙要求的赎金，也没有有关要求多少加密货币的信息。

Cointelegraph与Threadstone Advisors，LLC的代表联系，但尚未收到回复。我们将对本文进行相应的评论更新。

恶意软件实验室Emsisoft的线程分析师Brett Callow告诉Cointelegraph：“其他勒索软件组织采用了Maze的加密和窃听双重打击形式的攻击这一事实很可能证明了该策略有效，因此，目前可能不会被那些目前尚未窃取数据的组织最终采用。当然，该策略在某些情况下会比其他情况更有效。拥有与客户相关的高度敏感信息的公司（例如并购咨询）可能比其他公司更愿意为防止数据在线发布而付费。”

勒索软件帮派变得更加激进

网络安全专家警告说，像Maze这样的勒索软件团体所采用的策略正在变得“越来越极端”。他指出，黑客正在通过对业务合作伙伴，客户的威胁来武器化窃取的数据，并损害公司的声誉。

Callow添加了以下内容：“这可能是自然演变，也可能是对Covid-19大流行的反应。在如此多的公司面临财务挑战的情况下，支付赎金要求的能力或意愿降低了，导致各集团寻求施加更大的压力以试图提高转换率。”

ST Engineering Aerospace的美国子公司最近受到Maze的勒索软件攻击，据报道，该攻击设法从该公司及其合作伙伴中提取了约1.5TB的敏感数据。

该团伙还声称在其网站上的帖子中入侵了美国鸡蛋生产商Sparboe。博客文章中包含该小组声称从公司盗窃的示例数据。