勒索软件Ryuk的几步攻击链
发布时间:2022-08-26 10:55:45 所属栏目:安全 来源:互联网
导读:随着勒索软件攻击越来越复杂、周期越来越长、攻击目标的价值越来越高,勒索软件的赎金也水涨船高。近日勒索软件Ryuk从某受害企业那里成功获取3400万美元赎金,一度刷新了公开的赎金记录。 如野火般肆虐的勒索软件的下一个目标是谁?这个行当到底有多赚钱?勒索
|
随着勒索软件攻击越来越复杂、周期越来越长、攻击目标的价值越来越高,勒索软件的赎金也水涨船高。近日勒索软件Ryuk从某受害企业那里成功获取3400万美元赎金,一度刷新了公开的赎金记录。 如野火般肆虐的勒索软件的下一个目标是谁?这个行当到底有多“赚钱”?勒索软件攻击手段为何能屡屡奏效,在企业网络里偷天换日,翻江倒海的呢? 自“重出江湖”以来,Ryuk勒索软件火力全开,势如破竹。根据Check Point10月的一份报告指出,Ryuk团伙在2020年第三季度平均每周攻击20家公司。 Ryuk勒索软件的最新“致命战绩”包括Universal Health Services(UHS)、大联盟IT服务公司 Sopra Steria、Seyfarth Shaw律师事务所、办公家具巨头Steelcase以及布鲁克林和佛蒙特州的医院的加密网络。 近日,分析来自事件响应参与的攻击流程后,Kremez注意到Ryuk团伙“仅”花了15个步骤就找到网络上的可用主机,窃取管理员级别的凭据并成功部署Ryuk勒索软件。 Ryuk团伙使用的软件大部分都是开源的,红队也使用这些软件来测试网络安全性: Mimikatz-利用后的工具,用于从内存中转储凭证; PowerShell PowerSploit-用于后期利用的PowerShell脚本集合; LaZagne-与Mimikatz相似,用于从在本地存储数据的软件中收集密码; AdFind-Active Directory查询工具; Bloodhound-利用后工具,用于枚举和可视化Active Directory域,包括设备、登录的用户、资源和权限; PsExec-允许在远程系统上执行进程。 在Ryuk攻击链的初始阶段,攻击者运行Cobalt Strike的“invoke”命令,以执行“DACheck.ps1”脚本,以检查当前用户是否是Domain Admin组的一部分。 然后,通过Mimikatz检索密码,映射网络,并在端口扫描FTP、SSH、SMB、RDP和VNC协议后识别主机。 不过,最近一段时间以来,传播Bazarloader后门的钓鱼邮件越来越普遍,常见手法是使用与攻击时间(节日、事件),或通用性主题(投诉、工资单、服务或聘用通知)相关的的诱饵。 (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330482号