网站建设与网页设计期末考试,网站建设管理情况报告,wordpress健身房主题,广西网站设计公司排行榜icrosoft发出警告#xff0c;勒索软件团伙Storm-0501近期调整了攻击策略#xff0c;目前正将目标瞄准混合云环境#xff0c;旨在全面破坏受害者的资产。 该威胁行为者自2021年首次露面#xff0c;起初作为Sabbath勒索软件行动的分支。随后#xff0c;他们开始分发来自Hive… icrosoft发出警告勒索软件团伙Storm-0501近期调整了攻击策略目前正将目标瞄准混合云环境旨在全面破坏受害者的资产。 该威胁行为者自2021年首次露面起初作为Sabbath勒索软件行动的分支。随后他们开始分发来自Hive、BlackCat、LockBit和Hunters International团伙的文件加密恶意软件。近期他们被观察到部署了Embargo勒索软件。 Storm-0501的最新攻击波及了美国的多家医院、政府机构、制造业和运输公司以及执法部门。 据Microsoft透露这一多阶段的攻击活动旨在破坏混合云环境并实现从本地网络到云环境的横向移动最终导致数据泄露、凭据被盗、系统篡改、持续的后门访问以及勒索软件的部署。 Storm-0501是一个以经济利益为驱动的网络犯罪集团他们利用商业和开源工具进行勒索软件攻击微软的威胁情报团队指出。 自2021年起该威胁行为者一直活跃在网络上最初使用Sabbath54bb47h勒索软件攻击教育机构随后演变为勒索软件即服务RaaS的附属机构多年来提供了包括Hive、BlackCatALPHV、Hunters International、LockBit和Embargo在内的多种勒索软件载荷。 Storm-0501 攻击流程 Storm-0501攻击事件中攻击者采用了多种手段来从本地组织迁移到云基础设施其显著特点之一是利用弱凭证和特权过高的账户。 此外攻击者的初始访问方法还包括使用Storm-0249和Storm-0900等访问代理已建立的立足点以及利用未修补的面向Internet的服务器中的远程代码执行漏洞如Zoho ManageEngine、Citrix NetScaler和Adobe ColdFusion 2016。 这些方法为攻击者提供了广泛的发现操作的机会使他们能够确定高价值资产、收集域信息并执行Active Directory侦查。 随后攻击者部署了远程监控和管理工具如AnyDesk以保持持久性。据Microsoft表示威胁行为者利用了在初始访问期间入侵的本地设备上的管理员权限并试图通过多种方法访问网络内的更多帐户。 攻击者主要利用Impacket的SecretsDump模块来提取凭据并在大量设备上利用这些凭据。泄露的凭据随后被用于访问更多设备并提取其他凭据同时攻击者还会访问敏感文件以提取KeePass机密并通过暴力攻击获取特定帐户的凭据。 Microsoft还检测到Storm-0501使用Cobalt Strike和泄露的凭据在网络中横向移动并发送后续命令。通过使用自定义Rclone二进制文件模仿Windows工具攻击者将数据传输到MegaSync公有云存储服务从而完成从本地环境的数据泄露。 此外威胁行为者还创建了对云环境的持续后门访问并将勒索软件部署到本地成为最新以混合云设置为目标的威胁行为者。 攻击者使用从攻击早期窃取的凭据特别是Microsoft Entra ID原Azure AD从本地横向移动到云环境并通过后门建立对目标网络的持久访问。 转向云的途径包括遭到入侵的Microsoft Entra Connect Sync用户帐户或通过本地用户帐户的云会话劫持这些帐户在云中具有相应的管理员帐户并且禁用了多重身份验证MFA。 在获得对网络的充分控制权、泄露感兴趣的文件并横向移动到云后攻击最终导致在受害组织中部署Embargo勒索软件。 勒索软件负载是使用 Domain Admin 等受感染的帐户通过计划任务或组策略对象 GPO 部署的以加密组织设备中的文件。 Embargo是一种基于Rust的勒索软件于2024年5月首次被发现。 “Embargo 背后的勒索软件组织在 RaaS 模式下运作允许 Storm-0501 等附属公司使用其平台发起攻击以换取一部分赎金”Microsoft 表示。 “禁运附属公司采用双重勒索策略他们首先加密受害者的文件并威胁如果不支付赎金否则会泄露被盗的敏感数据。” 话虽如此Windows 制造商收集的证据表明威胁行为者并不总是求助于勒索软件分发而是在某些情况下只选择保持对网络的后门访问。 禁运勒索软件活动 Embargo 威胁组织使用基于 Rust 的恶意软件来运行他们的勒索软件即服务 RaaS 操作该操作接受入侵公司的附属公司部署有效载荷并与开发人员分享部分利润。 2024 年 8 月Embargo 勒索软件附属公司袭击了美国无线电中继联盟 ARRL并收到了 100 万美元以换取一个可用的解密器。 2024年 5 月一家 Embargo 附属公司入侵了澳大利亚最大的抵押贷款和投资管理公司之一 Firstmac Limited并在协商解决方案的截止日期前泄露了 500GB 被盗的敏感数据。 披露之际DragonForce 勒索软件组织一直在使用泄露的 LockBit3.0 构建器的变体和 Conti 的修改版本来瞄准制造业、房地产和运输行业的公司。 这些攻击的特点是使用 SystemBC 后门进行持久性使用 Mimikatz 和 Cobalt Strike 进行凭据收集以及使用 Cobalt Strike 进行横向移动。美国占受害者总数的 50% 以上其次是英国和澳大利亚。 “该组织采用双重勒索策略加密数据并威胁除非支付赎金就泄露”总部位于新加坡的 Group-IB 表示。“联盟计划于 2024 年 6 月 26 日启动向联盟提供 80% 的赎金以及用于攻击管理和自动化的工具。” 消息来源
Embargo ransomware escalates attacks to cloud environments (bleepingcomputer.com)
Microsoft Identifies Storm-0501 as Major Threat in Hybrid Cloud Ransomware Attacks (thehackernews.com) 以下是solar安全团队近期处理过的常见勒索病毒后缀后缀.lol勒索病毒,后缀.360勒索病毒,.halo勒索病毒,.phobos勒索病毒,.Lockfiles勒索病毒,.stesoj勒索病毒,.src勒索病毒,.svh勒索病毒,.Elbie勒索病毒,.Wormhole勒索病毒.live勒索病毒, .rmallox勒索病毒, .mallox 勒索病毒,.hmallox勒索病毒,.jopanaxye勒索病毒, .2700勒索病毒, .elbie勒索病毒, .mkp勒索病毒, .dura勒索病毒, .halo勒索病毒, .DevicData勒索病毒, .faust勒索病毒, ..locky勒索病毒, .cryptolocker勒索病毒, .cerber勒索病毒, .zepto勒索病毒, .wannacry勒索病毒, .cryptowall勒索病毒, .teslacrypt勒索病毒, .gandcrab勒索病毒, .dharma勒索病毒, .phobos勒索病毒, .lockergoga勒索病毒, .coot勒索病毒, .lockbit勒索病毒, .nemty勒索病毒, .contipa勒索病毒, .djvu勒索病毒, .marlboro勒索病毒, .stop勒索病毒, .etols勒索病毒, .makop勒索病毒, .mado勒索病毒, .skymap勒索病毒, .aleta勒索病毒, .btix勒索病毒, .varasto勒索病毒, .qewe勒索病毒, .mylob勒索病毒, .coharos勒索病毒, .kodc勒索病毒, .tro勒索病毒, .mbed勒索病毒, .wannaren勒索病毒, .babyk勒索病毒, .lockfiles勒索病毒, .locked勒索病毒, .DevicData-P-XXXXXXXX勒索病毒, .lockbit3.0勒索病毒, .blackbit勒索病毒等。 勒索攻击作为成熟的攻击手段很多勒索家族已经形成了一套完整的商业体系并且分支了很多团伙组织导致勒索病毒迭代了多个版本。而每个家族擅用的攻击手法皆有不同TellYouThePass勒索软件家族常常利用系统漏洞进行攻击Phobos勒索软件家族通过RDP暴力破解进行勒索Mallox勒索软件家族利用数据库及暴力破解进行加密攻击手法极多防不胜防。 而最好的预防方法就是针对自身业务进行定期的基线加固、补丁更新及数据备份在其基础上加强公司安全人员意识。
