法国警告:新型勒索软件团伙正在针对地方政府
更多全球网络安全资讯尽在E安全官网 www.easyaq.com
E安全3月21日讯,近日法国CERT小组发布警报指出一个新型勒索软件团伙最近针对各个地方政府网络系统发起攻击。据悉,黑客是使用新版本的Mespinoza勒索软件毒株(同时也称为Pysa勒索软件)进行攻击的,目前攻击次数正在增加。
根据研究,该款勒索软件是在去年10月首次被发现的,当时受害者称黑客不仅对数据进行了加密,而且在每个赎回的文件末尾添加了锁定扩展名。两个月后,研究人员发现了新型Mespinoza勒索软件版本,该版本使用了pysa作为文件扩展名,因此研究人员也会使用该名称来命名该款勒索软件。
据悉,在以前的Mespinoza / pysa感染案例中,大多数受害者是大型公司网络,这表明这种新型勒索软件背后组织的攻击活动是针对大型公司网络发起的,攻击原因是他们试图最大程度地提高勒索需求和其固有利润。
CERT-FR表示,目前研究人员尚不清楚PYSA团伙是如何获得受害者网络访问权限以感染受害者系统的。但是,他们留下的部分线索描绘了某些受感染者网络中可能发生的情况,例如,有证据表明Pysa团伙对管理控制台和动态指导帐户发起过暴力攻击。在关键账户受到这些暴力攻击之后,公司的帐户和密码数据库被泄露。
受害公司还向研究人员报告称,发现未经授权的RDP连接到公司域的控制器,并且部署了Batch和PowerShell脚本。此外,Pysa组织还部署了PowerShell Empire渗透测试工具, 以此停止了各种防病毒产品,甚至在某些情况下强制卸载了Windows Defender防御软件。
CERT-FR表示,在进一步分析后,他们还发现了Pysa勒索软件的其他新版本,该版本没有加密弱点。调查人员称,他们还分析了勒索软件及其加密算法,暂时没有发现任何可能使受害者绕过勒索软件付款环节并免费解密文件的系统缺陷。根据CERT-FR的说法,Pysa勒索软件代码是“特定且简短”的,并且它基于公共Python库。
目前,Pysa袭击不仅限于法国,Emsisoft恶意软件分析师和ID-Ransomware创始人Michael Gillespie在接受媒体采访时表示,Pysa勒索软件团伙的攻击目标遍及多个大洲,打击了多个政府和商业相关的网络,各个组织的网络安全人员应该提高警惕。
注:本文由E安全编译报道,转载请注原文地址 https://www.easyaq.com
推荐阅读:
▼点击“阅读原文” 查看更多精彩内容
喜欢记得打赏小E哦!