FBI發(fā)布“1%”勒索軟件警告
近日,美國聯(lián)邦調(diào)查局(FBI)發(fā)布了關(guān)于一個名為OnePercent Group(1%)的勒索軟件團(tuán)伙的警告,該團(tuán)伙自2020年11月以來一直在攻擊美國公司。該團(tuán)伙的電子郵件針對組織內(nèi)部的個人使用社會工程技巧欺騙粗心的員工打開包含在附件ZIP文件中的惡意Word文檔。
但該釣魚郵件并不會立刻加密受害者電腦中的數(shù)據(jù),而是在受害者的計(jì)算機(jī)上安裝一個名為IcedID的模塊化銀行木馬——IcedID(有時也稱為 BokBot),可以在用戶嘗試訪問其在線銀行賬戶時竊取金融機(jī)構(gòu)的登錄憑據(jù),同時它還可以下載和投放其他惡意軟件。有人認(rèn)為IcedID是故意以這種方式擴(kuò)展的,以使其對網(wǎng)絡(luò)犯罪分子來說更有利可圖。
IcedID可以下載的附加軟件之一是Cobalt Strike,這是一種深受惡意黑客喜愛的滲透測試工具。Cobalt Strike在目標(biāo)組織中橫向移動,為遠(yuǎn)程黑客泄露敏感數(shù)據(jù)并將其加密在企業(yè)受害者的系統(tǒng)上提供了機(jī)會。根據(jù)FBI的說法,在部署勒索軟件之前大約一個月,已經(jīng)在受害者的網(wǎng)絡(luò)中觀察到了犯罪分子的活動。
除了確保將防病毒產(chǎn)品配置為檢測已知OnePercent Group在攻擊和數(shù)據(jù)泄露期間使用的工具外,F(xiàn)BI提供了以下一些預(yù)防和緩解措施建議:
- 離線備份關(guān)鍵數(shù)據(jù);
- 確保管理員沒有使用“管理員批準(zhǔn)”模式;
- 如果可能,實(shí)施 Microsoft LAPS;
- 確保關(guān)鍵數(shù)據(jù)的副本位于云端或外部硬盤驅(qū)動器或存儲設(shè)備上。不應(yīng)從受感染的網(wǎng)絡(luò)訪問此信息;
- 保護(hù)您的備份并確保無法從原始數(shù)據(jù)所在的系統(tǒng)訪問數(shù)據(jù)以進(jìn)行修改或刪除;
- 保持計(jì)算機(jī)、設(shè)備和應(yīng)用程序打補(bǔ)丁并保持最新狀態(tài);
- 考慮為從組織外部收到的電子郵件添加電子郵件橫幅;
- 禁用未使用的遠(yuǎn)程訪問/遠(yuǎn)程桌面協(xié)議 (RDP) 端口并監(jiān)控遠(yuǎn)程訪問/RDP 日志;
- 審核具有管理權(quán)限的用戶帳戶,并以最低權(quán)限配置訪問控制;
- 實(shí)施網(wǎng)絡(luò)分段;
- 使用具有強(qiáng)密碼短語的多因素身份驗(yàn)證。
【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章,轉(zhuǎn)載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權(quán)】
