聚焦当前和新兴的勒索软件攻击

Coveware 的新研究表明，屈服于勒索软件威胁可能会导致更多的勒索软件攻击和更复杂的攻击。

这家安全公司在周一发布的一项研究中表示，今年第一季度的平均和中位数赎金支付额有所上升，一些勒索软件团伙似乎利用赚到的钱购买了更好的入侵组织的方法。第一季度，Coveware 发现虚假电子邮件数量有所下降，软件漏洞滥用有所增加。根据这项研究，最常见的漏洞是 Fortinet 和 Pulse Secure VPN 产品中的已知缺陷。

总体而言，勒索软件攻击的平均金额上升了 43%，从 2020 年第四季度的 154,108 美元上升至 2021 年第一季度的 220,298 美元。第一季度，平均金额上升了 50% 以上，达到 78,398 美元。

研究称，许多威胁团体（如 Sodinokobi、Conti V2 和 Lockbit 背后的团体）都推动了平均数和中位数。但 Clop 勒索软件在第一季度尤其活跃，并向许多人提出了非常高的付款要求。

考夫韦尔表示，接受这些要求会给人们一种虚假的安全感，带来意想不到的后果，并产生未来的义务。

那么，这意味着什么？当前和新出现的勒索软件攻击有哪些值得警惕？查看此白皮书了解更多信息。

了解什么是 WannaCry 和 DearCry

勒索：Win32/DoejoCrypt.A，又名“DearCry”，是一个新的勒索软件家族，它通过 Microsoft Exchange Server 本地版本中的多个零日漏洞感染了多家组织。这些漏洞最初被不同的威胁行为者（包括中国民族国家组织）用来攻击组织。

周二，Michael Gillespie 首次报告了 DearCry。他是免费网络安全勒索软件跟踪服务 ID Ransomware 的作者。周四，他在推特上表示，一个带有“DEARCRY！”文件标记的新版本正从 Exchange 服务器发送到 ID Ransomware 系统。

吉莱斯皮表示，截至周四，ID Ransomware 已收到来自美国、加拿大和澳大利亚六个 IP 地址的 DearCry 报告。研究 ID Ransomware 的安全研究人员团队 MalwareHunterTeam 在推文中表示，他们还听说奥地利和丹麦有人受到了影响。

周四晚上，BleepingComputer 发布了一份关于网络安全勒索软件的报告。这份勒索软件攻击报告将其与 Microsoft Exchange Server 漏洞联系起来，其中最危险的是 ProxyLogon。当晚晚些时候，Microsoft Security Intelligence 发布了一条推文，这是它对 DearCry 的第一条明确回应。

通过更改 Mega 密码来实施 Black Kingdom 恶意软件

最近针对 Microsoft Exchange 服务器的 ProxyLogon 攻击发现了 Black Kingdom 勒索软件。只需更改密码即可阻止该勒索软件，至少暂时如此。Emsisoft 的安全研究员 Brett Callow 告诉 SearchSecurity，Black Kingdom 制作了加密密钥并将其发送到云存储网站 Mega。但是，他说，如果勒索软件攻击无法到达 Mega，它将改用静态本地密钥。在最近的攻击中，Black Kingdom 似乎无法保护它所攻击的计算机，在某些情况下，它改用静态密钥。

“有人更改了 Mega 账户的密码，因此勒索软件无法获取该密码，只能重新使用硬编码密钥，”Callow 说道。“因为我们有硬编码密钥，所以我们或许能够帮助人们恢复数据。”

目前尚不清楚密码何时更改，但 Callow 于周一早上向 SearchSecurity 通报了此事。SearchSecurity 决定不立即发布该信息，以便 Black Kingdom 威胁玩家不知道勒索软件攻击已被阻止。

Sophos 下一代技术工程主管 Mark Loman 周二撰写了一篇有关网络安全勒索软件的博客文章。在文章中，他谈到了该软件如何与 Mega 配合使用。Loman 告诉 SearchSecurity，可以使用相同的静态密钥对其进行解码，以确保其安全。他还肯定地表示，该软件无法连接到 Mega。

下载 Tech Target 的白皮书，以仅通过在线白皮书了解有关当前和新兴勒索软件威胁聚焦的更多信息。