每周安全速递³⁰⁹｜研究人员披露名为Underground的勒索软件

第309期

本周热点事件威胁情报

研究人员披露名为Underground的勒索软件

第一个Underground勒索软件样本首次发现于2023年7月初，其背后的攻击者在2023年7月13日在其数据泄露网站中发布了第一个受害者的信息。与大多数勒索软件一样，该勒索软件会加密受害者Windows计算机上的文件，并威胁受害者支付赎金。有研究报告表明，位于俄罗斯的RomCom组织，也被称为Storm-0978，利用Underground勒索软件进行攻击活动。该勒索软件运行后会释放名为“!!readme!!!.txt”的勒索信，对文件进行加密但不会添加或更改被加密文件的扩展名。该勒索软件会创建并执行temp.cmd，以删除原始勒索软件，获取并删除Windows事件日志。

‍参考链接：

https://www.fortinet.com/blog/threat-research/ransomware-roundup-underground

研究人员披露一个名为Cicada3301的勒索组织

Cicada3301勒索组织于2024年6月29日，在网络犯罪论坛RAMP中首次发布帖子。该勒索组织已经在其勒索网站中列出了19名受害者。与很多勒索组织类似，Cicada3301执行双重勒索策略，他们从受害者网络中窃取数据，然后对设备中的文件进行加密，并威胁受害者支付赎金以换取泄露的数据。研究人员发现Cicada3301和ALPHV/BlackCat之间存在重叠的恶意代码，表明这两个勒索组织之间可能存在关联。Cicada3301勒索组织使用的加密程序基于Rust进行编写，并针对Windows和Linux/VMware ESXi进行攻击。加密文件时，加密程序会在被加密文件名后附加一个随机的七个字符的扩展名，并创建名为“RECOVER-[extension]-DATA.txt”的勒索信。

参考链接：

https://www.bleepingcomputer.com/news/security/cicada3301-ransomwares-linux-encryptor-targets-vmware-esxi-systems

RansomHub勒索组织对哈里伯顿进行了网络攻击

RansomHub勒索组织是近期对石油及天然气服务公司哈里伯顿（Halliburton）进行网络攻击的幕后黑手，此次网络攻击影响了该公司的IT系统和业务运营。由于相关系统被网络攻击所关闭，其客户无法生成发票或采购订单。哈里伯顿披露了这次攻击事件，称他们于2024年8月21日遭受了网络攻击。虽然哈里伯顿尚未提供有关此次攻击的更多细节及攻击者信息，但安全研究人员在该公司提供的IOC列表中发现了一个名为maintenance.exe的Windows可执行程序，并确认该程序是RansomHub勒索软件加密程序。经分析，该程序相较之前的版本包含一个新的“-cmd string”命令行参数，该参数用于在加密文件之前在设备上执行命令。

参考链接：

https://www.bleepingcomputer.com/news/security/halliburton-cyberattack-linked-to-ransomhub-ransomware-gang

伊朗黑客以美国为目标发起勒索软件和间谍攻击

2024年8月28日，最新报告和联邦咨询警告称，伊朗黑客近期对美国及阿联酋的公共和私营部门发起了系列勒索软件攻击和网络间谍活动。伊朗的网络威胁组织“先锋小猫”（Pioneer Kitten），也称为UNC757和Rubidium等，自2017年以来已经渗透了美国学校、金融机构、医疗设施及市政府等多个组织，近期活动仍在继续。根据联邦调查局、网络安全与基础设施安全局和国防部网络犯罪中心发布的联合咨询，这些攻击者的主要目标是获取和维持对受害网络的技术访问，以便进行未来的勒索软件攻击。

参考链接：

https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-241a

BlackByte勒索软件利用VMware ESXi漏洞发起新一轮攻击

2024年8月28日，BlackByte勒索软件集团被发现利用最近修复的VMware ESXi安全漏洞（CVE-2024-37085）发起新一轮攻击。该漏洞使攻击者能够获得虚拟化平台的管理员权限，进而控制虚拟机和修改服务器配置。研究人员的报告显示，BlackByte还使用了多种易受攻击的驱动程序来绕过安全保护，并在攻击中部署了自我传播的勒索加密器。该组织从2021年下半年开始活跃，历史上以利用ProxyShell漏洞和双重勒索策略而闻名。近期攻击中，黑客利用有效凭据访问受害者VPN，并通过暴力破解获取初始访问权限，随后使用VMware vCenter服务器创建管理员账户以提升权限。

参考链接：

https://blog.talosintelligence.com/blackbyte-blends-tried-and-true-tradecraft-with-newly-disclosed-vulnerabilities-to-support-ongoing-attacks/

美创科技第59号安全实验室，专注于数据安全技术领域研究，聚焦于安全防御理念、攻防技术、漏洞挖掘等专业研究，进行知识产权转化并赋能于产品。自2021年起，累计向CNVD、CNNVD等平台提报数千个高质量原创漏洞，并入选国家信息安全漏洞库（CNNVD）技术支撑单位（二级）、信创政务产品安全漏洞库支撑单位，团队申请发明专利二十余项，发表多篇科技论文，著有《数据安全实践指南》、《内网渗透实战攻略》等。