张家港外贸型网站制作,鹏翔科技 网站建设,建立网站信息发布登记制度,wordpress负载均衡上传附件前言
Sodinokibi勒索病毒#xff0c;又称为REvil勒索病毒#xff0c;这款勒索病毒最早在国内被发现是2019年4月份#xff0c;笔者在早期分析这款勒索病毒的时候就发现它与其他勒索病毒不同#xff0c;于是被笔者称为GandCrab勒索病毒的“接班人”#xff0c;为什么它是Ga…前言
Sodinokibi勒索病毒又称为REvil勒索病毒这款勒索病毒最早在国内被发现是2019年4月份笔者在早期分析这款勒索病毒的时候就发现它与其他勒索病毒不同于是被笔者称为GandCrab勒索病毒的“接班人”为什么它是GandCrab勒索病毒的接班人呢因为它最开始出现的时候与之前GandCrab使用了相同的传播渠道详细的分析可以去参考笔者之前写的文章笔者捕获的最新的Sodinokibi勒索病毒版本应该是Sodinokibi2.0.5版本这款勒索病毒早期传播使用的一些常用的攻击手法如下所示
Oracle Weblogic Server漏洞
Flash UAF漏洞
RDP攻击
垃圾邮件
APT水坑攻击
漏洞利用工具包和恶意广告下载 勒索攻击
随着这款勒索病毒后期加入到了BGH(大型目标狩猎)活动之后使用的攻击手法变的更加复杂多样化不仅仅只通过上面那些过于单一的攻击方式国外某安全厂商曾报道过一篇关于这个勒索病毒的详细溯源报告一共分为三个阶段
(1)第一阶段黑客通过垃圾邮件使企业中某台主机感染IcedID恶意软件然后再通过IcedID安装Cobalt Strike木马程序如下所示 (2)第二阶段安装Cobalt Strike木马之后黑客组织利用Cobalt Strike进行内网横向移动如下所示 (3)第三阶段通过横向渗透获取到企业域控制权限等之后将勒索病毒远程下发到服务器执行勒索加密操作如下所示 整个勒索病毒攻击溯源的时间线如下所示 详细的溯源报告链接如下
https://thedfirreport.com/2021/03/29/sodinokibi-aka-revil-ransomware/ 这款勒索病毒攻击有一个特点就是一台失陷全网遭殃黑客组织会先攻破某企业的一台主机然后再进行内网渗透感染其他主机设备所以一般如果企业是被这款勒索病毒攻击感染可能会有多台机器被勒索加密。 同时这款勒索病毒加入到BGH活动之后勒索赎金也是越来越高被勒索攻击的都是大型企业少则几百万美元多则几千万美元此前Acer就被勒索高达5000万美元之多最近这款勒索病毒非常流行大型企业一定要提高安全意识不要成为下一个受害者了。 勒索攻击风起云涌真的是太多了此前被勒索的Colonial Pipeline听说也向黑客交纳了500万美元的赎金其实还有更多的大企业在被勒索攻击之后也选择默默交纳赎金这也从侧面导致勒索病毒越来越多暴利的驱使下越来越多的黑客组织开始使用勒索病毒发起攻击同时也有更多的勒索病毒黑客组织开始加入到以定向攻击为主的BGH活动当中这些勒索病毒黑客组织每天都在不断寻找着下一个攻击目标谁都有可能成为下一个被勒索攻击的对象勒索病毒攻击越来越复杂化各大企业都需要提高安全意识不要成为下一个受害者因为勒索的赎金是真的太多了。
