您所在的位置: 首頁 >
安全研究 >
安全通告 >
FBI發(fā)布“1%”勒索軟件警告
近日,美國聯(lián)邦調(diào)查局(FBI)發(fā)布了關(guān)于一個名為OnePercent Group(1%)的勒索軟件團(tuán)伙的警告,該團(tuán)伙自2020年11月以來一直在攻擊美國公司。該團(tuán)伙的電子郵件針對組織內(nèi)部的個人使用社會工程技巧欺騙粗心的員工打開包含在附件ZIP文件中的惡意Word文檔。
但該釣魚郵件并不會立刻加密受害者電腦中的數(shù)據(jù),而是在受害者的計算機(jī)上安裝一個名為IcedID的模塊化銀行木馬——IcedID(有時也稱為 BokBot),可以在用戶嘗試訪問其在線銀行賬戶時竊取金融機(jī)構(gòu)的登錄憑據(jù),同時它還可以下載和投放其他惡意軟件。有人認(rèn)為IcedID是故意以這種方式擴(kuò)展的,以使其對網(wǎng)絡(luò)犯罪分子來說更有利可圖。
IcedID可以下載的附加軟件之一是Cobalt Strike,這是一種深受惡意黑客喜愛的滲透測試工具。Cobalt Strike在目標(biāo)組織中橫向移動,為遠(yuǎn)程黑客泄露敏感數(shù)據(jù)并將其加密在企業(yè)受害者的系統(tǒng)上提供了機(jī)會。根據(jù)FBI的說法,在部署勒索軟件之前大約一個月,已經(jīng)在受害者的網(wǎng)絡(luò)中觀察到了犯罪分子的活動。
除了確保將防病毒產(chǎn)品配置為檢測已知OnePercent Group在攻擊和數(shù)據(jù)泄露期間使用的工具外,F(xiàn)BI提供了以下一些預(yù)防和緩解措施建議:
● 離線備份關(guān)鍵數(shù)據(jù);
● 確保管理員沒有使用“管理員批準(zhǔn)”模式;
● 如果可能,實施 Microsoft LAPS;
● 確保關(guān)鍵數(shù)據(jù)的副本位于云端或外部硬盤驅(qū)動器或存儲設(shè)備上。不應(yīng)從受感染的網(wǎng)絡(luò)訪問此信息;
● 保護(hù)您的備份并確保無法從原始數(shù)據(jù)所在的系統(tǒng)訪問數(shù)據(jù)以進(jìn)行修改或刪除;
● 保持計算機(jī)、設(shè)備和應(yīng)用程序打補丁并保持最新狀態(tài);
● 考慮為從組織外部收到的電子郵件添加電子郵件橫幅;
● 禁用未使用的遠(yuǎn)程訪問/遠(yuǎn)程桌面協(xié)議 (RDP) 端口并監(jiān)控遠(yuǎn)程訪問/RDP 日志;
● 審核具有管理權(quán)限的用戶帳戶,并以最低權(quán)限配置訪問控制;
● 實施網(wǎng)絡(luò)分段;
● 使用具有強密碼短語的多因素身份驗證。
來源:安全牛