勒索软件团伙本周一直很忙,对最大的酒店集团之一的 NAS 设备、IHG 和美国第二大学区 LAUSD 发起了攻击。
周六,DeadBolt 勒索软件操作利用 Photo Station 中的零日漏洞对 QNAP 设备发起了新的攻击。同一天,QNAP 发布了安全更新来修复漏洞,敦促客户安装更新,不要将他们的设备暴露在互联网上。
周一,洲际酒店集团(IHG) 和洛杉矶联合 (LAUSD) 学区都遭到勒索软件攻击,破坏了组织的技术运营。
对于 IHG 而言,这次攻击破坏了他们的在线预订系统;对于 LAUSD,它影响了学区的 IT 系统。
然而,即使网络攻击影响了 LAUSD 的技术基础设施,学校仍照常向洛杉矶学生开放。
昨天,Vice Society 勒索软件告诉 BleepingComputer,他们是攻击 LAUSD 的幕后黑手,并声称窃取了 500GB 的数据。
负责任的勒索软件团伙并不令人意外,因为 FBI、CISA 和 MS-ISAC 周一发布了一份警告,警告 Vice Society 针对学区。
我们还看到了本周发布的一些新的勒索软件研究:
勒索软件通过反普京/反俄罗斯消息攻击 DDoS Cobalt Strike 服务器。
Play勒索软件分析。
新版BlackCat解析。
一份关于前康帝成员如何瞄准乌克兰的谷歌报告。
有关新的 Monti 勒索软件操作的信息。
贡献者和本周提供新勒索软件信息和故事的人包括:@malwareforme、 @LawrenceAbrams 、 @ FourOctets、 @ Ionut_Ilascu、 @ serghei、 @ billtoulas、 @ fwosar、 @ VK_Intel、@struppigel、@BleepinComputer、@malwrhunterteam、@ Seifreed、 @ DanielGallagher,@demonslay335, @ jorntvdw, @ PolarToffee, @ MsftSecIntel, @ CISAgov, @ FBI,@ pmbureau、 @ AdvIntel、 @ pcrisk、 @ PogoWasRight、 @ cPeterr、 @security_score和@ Intel471Inc。
2022 年 9 月 3 日
PLAY 勒索软件分析
这是我对 PLAY Ransomware 的分析。我将只关注它的反分析和加密功能。还有一些其他功能,例如 DLL 注入和网络,不会在此分析中涉及。
2022 年 9 月 5 日
QNAP 修补在新的 Deadbolt 勒索软件攻击中使用的零日漏洞
QNAP 利用 Photo Station 中的零日漏洞,警告客户注意从周六开始的 DeadBolt 勒索软件攻击。
新的 STOP 勒索软件变种
PCrisk发现了新的 STOP 勒索软件变种,这些变种附加了.oopu、.oodt和.oovb扩展名。
2022 年 9 月 6 日
洲际酒店集团网络攻击扰乱预订系统
领先的酒店公司 InterContinental Hotels Group PLC(也称为 IHG 酒店及度假村)表示,其信息技术 (IT) 系统自昨天以来在其网络遭到破坏后已中断。
美国第二大学区 LAUSD 遭勒索软件攻击
美国第二大学区洛杉矶联合大学 (LAUSD) 披露,勒索软件攻击在周末袭击了其信息技术 (IT) 系统。
FBI 警告 Vice Society 勒索软件攻击学区
FBI、CISA 和 MS-ISAC 今天警告说,美国学区越来越多地成为 Vice Society 勒索软件组织的攻击目标,预计新学年开始后还会发生更多攻击。
与新版本 BlackCat 勒索软件相关的 TTP
我们的数字取证和事件响应 (DFIR) 团队正在调查勒索软件感染。基于恶意软件添加了以前未记录的新命令行参数这一事实,我们能够确定所涉及的勒索软件是 BlackCat 勒索软件的新版本。
2022 年 9 月 7 日
谷歌称前 Conti 勒索软件成员现在攻击乌克兰
谷歌表示,一些前 Conti 网络犯罪团伙成员现在是被追踪为 UAC-0098 的威胁组织的一部分,他们的目标是乌克兰组织和欧洲非政府组织 (NGO)。
勒索软件团伙的 Cobalt Strike 服务器 DDoSed 带有反俄罗斯消息
有人正在向 Conti 勒索软件团伙的前成员运营的 Cobalt Strike 服务器充斥反俄信息,以扰乱他们的活动。
新的 STOP 勒索软件变种
PCrisk 发现了新的 STOP 勒索软件变种,这些变种附加了.mmpu、.mmvb和.mmdt扩展名。
发现 Bl00dy 勒索软件样本
PCrisk 发现了一个基于 Babuk 勒索软件家族的新“Bl00dy 勒索软件”样本,该家族附加了.bl00dy并删除了How To Restore Your Files.txt勒索说明。
Bl00dy 勒索软件首先由DataBreaches.net报道,当时威胁者针对纽约的医疗机构。
Conti vs. Monti:重塑还是简单的品牌重塑?
尽管没有确凿的证据表明 Conti 更名为 Monti,但 Conti 的消息来源已于2022 年 3 月公开泄露。因此,任何人都有可能使用公开的源代码来创建自己的基于 Conti 的勒索软件。根据我们对反汇编代码的分析,Monti 可能就是这种情况。Monti 的入口点与 Conti 的入口点非常相似,如下所示。因此,Monti 可能是 Conti 的更名,也可能只是使用上述泄露的源代码开发的新勒索软件变体。
2022 年 9 月 8 日
微软:伊朗黑客使用 BitLocker 加密 Windows 系统
Microsoft says an Iranian state-sponsored threat group it tracks as DEV-0270 (aka Nemesis Kitten) has been abusing the BitLocker Windows feature in attacks to encrypt victims’ systems.
