服务器关闭 2 天后,与 LockBit 相关的勒索软件仍在传播
2024-2-26 12:0:0 Author: www.4hou.com(查看原文) 阅读量:16 收藏

山卡拉 新闻 刚刚发布

2335

收藏

导语:本轮攻击利用了Connectwise 销售的远程桌面应用程序。

距离对勒索软件集团LockBit 进行重大打击的两天后,研究人员又发现了新一轮的攻击,这些攻击正在安装与该组织相关的恶意软件。

这些攻击是在过去 24 小时内检测到的,利用了Connectwise 销售的远程桌面应用程序——ScreenConnect中的两个关键漏洞。

据 SophosXOps 和 Huntress 两家安全公司的研究人员称,成功利用这些漏洞的攻击者会继续安装 LockBit 勒索软件和其他利用后恶意软件。目前尚不清楚该勒索软件是否为 LockBit 官方版本。

Huntress 的首席安全研究员John Hammond在电子邮件中写道:“我们暂时无法公开透露客户的姓名,但可以确认当前部署的恶意软件与 LockBit 有关。”

很难查明的原因

SophosXOps 和 Huntress 没有透露正在安装的勒索软件是官方 LockBit 版本还是由 2022 年 LockBit 内部人泄露的版本。自那时以来,泄露的架构程序已广泛传播,并引发了一系列非官方操作的模仿攻击。

安全公司 Trend Micro 的研究人员表示:“当架构被泄露时,可能会让溯源变得更加困难。例如,2023 年 8 月,我们观察到一个自称为 Flamingo 组织的团体使用泄露的 LockBit 载荷,与 Rhadamanthys stealer 捆绑在一起。2023 年 11 月,我们发现另一组织,自称为 Spacecolon,冒充 LockBit。该组织使用的电子邮件地址和 URL 使受害者误以为是在与 LockBit 打交道。”

SophosXOps表示他观察到了几次 LockBit 攻击,但目前没有其他详细信息。Hammond也表示,该恶意软件与勒索软件组织“有关联”,无法立即确认该恶意软件是官方版本还是山寨版。

这次攻击发生在英国、美国和欧洲刑警宣布成功重创 LockBit 之后的两天。此次行动包括夺取了 14000 个账户和 34 台服务器的控制权,逮捕了两名嫌疑人,并发布了五项起诉书和三份逮捕令,还冻结了与勒索软件操作相关的 200 个加密货币账户。这些行动是在调查人员侵入并控制了 LockBit 基础设施之后进行的。

有关部门表示,LockBit 作为全球最活跃的勒索软件团体之一,从全球数千名受害者中勒索了超过 1.2 亿美元。与大多数其他勒索软件团体一样,LockBit 采用勒索软件即服务模式运作,附属团体分享他们通过使用 LockBit 勒索软件和基础设施产生的收入。

鉴于附属团体的庞大数量以及它们广泛分布于各个组织领域,往往不太可能全部被消除,有可能一些附属团体仍然在运作。

除了安装与 LockBit 相关的勒索软件外,Hammond表示,攻击者还安装了几个其他恶意应用,包括一个被称为 Cobalt Strike 的后门、加密货币挖矿器以及用于远程连接到受损基础设施的 SSH 隧道。

ScreenConnect 漏洞正在大规模利用,并被标识为 CVE-2024-1708 和 CVE-2024-1709。ConnectWise 已为所有受影响版本提供了补丁。

本文翻译自:https://arstechnica.com/security/2024/02/ransomware-associated-with-lockbit-still-spreading-2-days-after-server-takedown/如若转载,请注明原文地址

  • 分享至

取消 嘶吼

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟


文章来源: https://www.4hou.com/posts/7yPB
如有侵权请联系:admin#unsafe.sh