年关将至，恶意猖獗，这3大勒索病毒一定要当心！

CACTUS勒索病毒于2023年3月开始持续活跃，其利用Fortinet VPN的已知漏洞进行入侵（在调查的所有事件中，黑客都是从拥有VPN服务帐户的VPN服务器转而进入内部的）。获取初始访问权限后，攻击者使用Netscan、PSnmap的修改版本对域内机器进行网络扫描，通过各种合法工具，远程软件进行控制。利用有效账户通过RDP进行横向移动。为了规避检测，该勒索通过7 zip加密自身，并通过常用软件GUID来定向卸载杀毒软件。

该勒索加密后缀为：.CTS1/.CTS6，加密勒索信：CACTUS.readme.txt。

Akira勒索于2023年3月出现，其主要针对企业进行攻击。据安全媒体报道，其攻击目标包括教育、金融、房地产、制造业和咨询业。该勒索不仅攻击Windows系统，还通过添加Linux加密器，针对 VMware ESXi 虚拟机进行攻击。

该勒索的初始入侵可能利用了 Cisco VPN （失陷账户），或者是远程控制软件滥用，其中包括RustDesk/Anydesk远程桌面。RustDesk是首次发现被利用，其可以在 Windows，macOS 和 Linux 上跨平台操作，涵盖了 Akira 的全部目标范围。被勒索加密后的文件，其后缀为. Akira。

BlackBit勒索家族通常是利用RDP暴力破解获取对目标机器的初始访问权限。RDP暴力破解（RDP brute force）是指攻击者使用自动化工具或脚本，尝试使用各种可能的用户名和密码组合登录远程桌面协议（Remote Desktop Protocol, RDP）服务的过程。攻击者通过尝试多个用户名和密码组合，来获取未经授权的访问权限，然后进一步入侵受害者的系统或网络。

攻击者可以使用多种方式进行RDP暴力破解攻击，例如使用常见的用户名和密码列表，或使用字典攻击工具自动生成密码组合。这种攻击方式对于那些使用弱密码或默认凭据的系统来说尤其危险，因为攻击者可以很容易地通过RDP暴力破解来获取访问权限。一旦BlackBit 勒索软件成功进入系统，它会加密主机上的文件，并勒索高额的赎金。

BlackBit勒索家族加密文件的新名称格式为“[攻击者邮件地址][唯一系统 ID][原始文件名].BlackBit”，创建名为“info.hta”和“Restore-My-Files.txt”的勒索信息文件。

亚信安全新一代终端安全TrustOne，实现可持续不间断发现、评估组织类可被黑客利用的薄弱环节，并显性化、危险指数量化这些薄弱点，通过攻击面管理提供的各项缓解功能，在攻击发生前快速修复。此外，针对勒索攻击的每个阶段，以及不同的攻击手段，TrustOne通过威胁情报、攻防对抗、机器学习、检测响应等能力，从终端文件、性能、进程、行为等多维度来评估网络中存在的已知、未知攻击风险，并利用TrustOne自身构建自适应框架体系，快速、有效地防护勒索攻击。

亚信安全信舱(DeepSecurity)基于多云环境的需求，为用户构建统一多云检测与防护平台，将云上安全视野及安全能力从工作负载扩展到多云环境，从物理机到容器，从云上到云下，提供一致的安全防护策略。DS全面支持业内主流公有云平台、私有云环境、虚拟化平台，并兼容主流主机操作系统，全面覆盖了CWPP模型各层级的技术要求；基于自研核心引擎的高效能力，DS能够有效识别并处置挖矿及勒索等恶意风险和攻击。

亚信安全信桅高级威胁监测系统（TDA），是一款360度的高级威胁检测产品，可掌握全网络的流量来侦测并响应高级威胁与未知威胁。其独特的侦测引擎加定制化沙箱动态模拟分析，能够为用户提供更全面的网络威胁侦测，快速发掘并分析包括，恶意文档、恶意软件、恶意网页、违规外连以及传统防护无法侦测到的内网攻击以及定向式攻击活动。目前信桅产品已经广泛应用于政府、金融、能源、交通等重点行业，为企业用户提供了高级威胁治理的安全系统/环境。