Industroyer 是一款集成了后门、发射器、数据擦除工具，以及至少四个负载组件的复杂、模块化恶意软件。Industroyer 后门允许黑客在目标系统上执行各种命令。当 C＆C 服务器隐藏在 Tor 网络时，黑客可通过编程将其设定为指定时间内处于活跃状态，并有效规避安全软件检测。此外，该后门除了安装用于启动数据擦除器与负载的发射器组件外，还将第二个后门伪装成恶意版本的 Windows 记事本应用程序。

数据擦除器组件用于攻击活动的最后阶段，以隐藏踪迹并使目标系统难以恢复。负载允许恶意软件控制断路器，实现工业通信协议。因此，ESET 研究人员认为恶意软件开发者对电网运营与工业网络通信有着深入了解。研究人员集中分析 Industroyer 核心组件负载（例如：IEC 60870-5-101、IEC 60870-5-104、IEC 61850与过程控制数据访问 OPCDA）后发现黑客可在发动攻击时控制目标系统断路器。

根据工控安全公司 Dragos 提供的理论攻击描述，黑客使用恶意软件 Industroyer 在 HMI 中将断路器开启命令设置为无限循环操作，导致目标系统变电站频繁出现断电现象。此外，目标设备操作人员无法通过操控 HMI 关闭断路器。为恢复正常通信，操作人员必须先用变电站扰乱通信后手动修复该问题。另外，黑客还可通过开启无限循环使断路器不断开关，触发保护机制、致使变电站关闭。

目前，ESET 与 Dragos 收集的证据均已证实，Industroyer 与 2016 年俄罗斯黑客组织 ELECTRUM 攻击乌克兰基辅地区电网事件有关。ELECTRUM 与 Sandworm APT 组织之间存在直接联系。ESET 强调，虽然这两家黑客组织在 2015 年与 2016 年乌克兰攻击活动中使用的恶意软件并无相似之处，但部分组件概念却极其相同。

来源：Hackernews

Fortinet公司的研究人员发现了首个以“勒索即服务”提供的Mac勒索软件MacRansom。

首款“勒索即服务”的Mac勒索软件

研究人员发现MacRansom可通过TOR网络中的一个隐藏服务以“勒索即服务”模式获取。这是首个针对Mac OS的Mac勒索即服务。

虽然而它并非如其它类似威胁那样复杂但可为受害者带来严重问题，因为它会加密受害者文件。这种“勒索即服务”的可用性能让没有具体技能的犯罪分子更易于发动勒索软件攻击活动。

MacRansom变体无法通过Tor端口现成可用，准犯罪分子需要联系勒索软件作者才能接收到威胁版本。MacRansom通过硬编码密钥执行对称加密，而它仅能加密最多128个文件，要获取解密密钥要求0.25个比特币（约700美元）。

研究人员发现了勒索软件使用的两组对称密钥：

ReadmeKey: 0x3127DE5F0F9BA796

TargetFileKey: 0x39A622DDB50B49E9

ReadmeKey用于解密decrypt ._README_文件。该文件包含勒索留言和指南，而TargetFileKey用于加密并解密受害者文件。这个恶意代码执行反分析活动，它做的第一件事是检查样本是否在非Mac环境下运行或者是否在经调试环境下运行。

受害者支付勒索金后，攻击者会向受害者比特币地址返回30%的钱款，而受害者需要做的就是通过垃圾邮件或路过式下载攻击传播威胁。攻击者不鼓励通过 涉及上传定制化MacRansom版本进行传播。

研究人员指出，MacRansom是山寨版本，因为它从之前的OSX勒索软件中借鉴了不少代码和想法，虽然它使用了反分析技巧，但在很多恶意软件作者中间并不算新。不考虑所运行的OS平台的话，MacRansom又是一款流行的勒索软件威胁。

来源：安全客

据悉，这些文件涉及塔塔为六家知名加拿大银行、两家著名的美国金融机构、一家跨国日本银行以及一家年收入高达数十亿美元的金融软件公司从事的编程工作。无论对于可能利用设计中任何缺陷、进而窃取数百万美元的犯罪分子而言，还是对于正在开发类似产品功能的竞争对手而言，这些数据都异常宝贵。

接到泄密警告后，仅仅只有美国金融机构迅速接受忠告，并立即作出回应。目前，虽然泄露文件已从 GitHub 上删除，但塔塔没有作出任何回应。出于安全考虑，受影响客户的名称并未透露。

来源：sohu搜狐