X

勒索软件犯罪工具猖獗?Troldesh成为黑客最受欢迎的工具?

转自security affairs,作者Pierluigi Paganini,合作站点转载请注明原文译者和出处为超级盾!

勒索软件占2019年上半年所有恶意邮件的一半以上, Troldesh aka Shade是其中最受欢迎的网络犯罪工具。

Group-IB是一家总部位于新加坡的网络安全公司:勒索软件占2019年上半年所有恶意邮件的一半以上, 由Group-IB的计算机应急响应小组(CERT-GIB)检测和分析,其中Troldesh aka Shade是最受欢迎的网络罪犯工具。

为了绕过防病毒系统,黑客会在非工作时间内发送恶意电子邮件并激活延迟。超过80%的恶意文件被伪装成 .zip 和 .rar 存档文件。

危险电子邮件

CERT-GIB的报告基于威胁检测系统(TDS)多边形收集和分析的数据,作为预防和检测2019年上半年在线分布在60多个国家的威胁的操作的一部分。

该报告的发现表明,电子邮件仍然是交付勒索软件,银行木马和后门程序的主要方法。在2018年下半年,通过浏览器下载的恶意程序数量下降到不足5%的最低数量,

而在2019年上半年,只有第少部分的下载是通过电子邮件以外的其他方式发起的 。

2019年上半年,用于传输恶意软件的受密码保护的对象(例如文档和档案文件)数量增加了10倍。在2017年,受密码保护的档案仅占所有恶意对象的0.08%。

在2018年,他们的人数增长到3.6%,而在2019年上半年,异常增长了27.8%。

另一个趋势是伪装电子邮件中的恶意软件。为了绕过公司的安全系统,网络犯罪分子越来越多地存档其恶意附件。

在2019年前六个月中,CERT-GIB检测到的所有恶意对象中有80%以上是以归档文件形式提供的,主要是.zip(32%)和.rar(25%)格式。

威胁参与者包括用于访问电子邮件主题内容,档案名称或随后破解与受害者有对应关系的密码。

网络犯罪分子代替传统的附件,而更经常地将链接放在电子邮件中,单击该链接可下载恶意附件。链接占29%,附件占71%。2018年,通过链接分发的恶意软件占一半。

现代网络罪犯拥有所有必要的工具,可以确保流行的防病毒软件不会检测到它们发出的恶意对象,” IB集团计算机应急响应小组(CERT-GIB)负责人Alexander Kalinin说。

“值得注意的是,只有在公司使用先进的早期威胁检测和防御系统的情况下,才可以及时有效地检测到带有密码保护或附加档案,以及延迟激活等的计划。

得益于行为分析,此类系统可以检测以前未知的恶意软件样本。”

财务部门处于高风险

网络犯罪分子使用社会工程学技术说服用户单击恶意链接或提取档案。在大多数情况下,攻击者使用会计和财务主题来吸引电子邮件收件人的注意力。

今年,全球范围内用于恶意邮件的恶意文件最受欢迎的名称是“付款”,“扫描”,“发票”,“语音邮件”,“新订单”等。

从这些文件名可以看出,会计和财务词汇占上风。如果分析典型的群发邮件,可以看出,使用会计和财务主题会增加感染财务部门用户的可能性,这显然对网络犯罪分子具有更大的价值。

勒索软件的复兴

2018年,造成财务损失的主要手段是通过银行木马和后门程序,而2019年上半年显示勒索软件使用量迅速增加。根据CERT-GIB数据,勒索软件活动在威胁中排名第一,增长了54%。

目前,Group-IB的计算机紧急响应小组跟踪的攻击中使用的最广泛的三种工具是 Troldesh (53%), RTM (17%)和 Pony Formgrabber (6%)。

传播最广泛的是 勒索软件Troldesh,Group-IB一直在追踪它。该恶意软件的主要功能是对计算机上的数据进行加密并提出赎金要求。

Troldesh积极出售和出租,但由于经常使用新功能进行更新,因此对它的需求不断增加。

Troldesh最新的活动表明,它现在不仅可以加密文件,而且还可以挖掘加密货币并在网站上产生伪造的流量,以增加广告欺诈带来的收入。

第二名是银行Trojan RTM,它是由类似的黑客组织开发的。RTM于2016年首次出现,并因其C&C为LiveJournal(俄罗斯社交网络服务)页面而引起关注。

分析显示,RTM旨在通过俄罗斯金融机构的远程银行服务窃取资金。由于RTM小组使用了多种分发方法,因此随着时间的流逝,对它们的跟踪也会发生变化。

从2018年中开始,它被确定为来自虚假会计站点网络的传播,随后在审查期间,该组被确定其他针对金融部门公司及其商业客户的攻击。自2019年初以来,涉及使用RTM恶意软件的恶意邮件数量一直在持续增长

第三种恶意软件类型是Pony Formgrabber, 旨在从100多个应用程序中窃取受害者密码,这些应用程序包括浏览器,电子邮件客户端,Messenger,FTP和VPN客户端。

它的某些版本能够将其他恶意软件隐藏下载并安装到受感染的计算机上

声明:我们尊重原创者版权,除确实无法确认作者外,均会注明作者和来源。转载文章仅供个人学习研究,同时向原创作者表示感谢,若涉及版权问题,请及时联系小编删除!

精彩在后面

Hi,我是超级盾

更多干货,可移步到,微信公众号:超级盾订阅号!精彩与您不见不散!

超级盾能做到:防得住、用得起、接得快、玩得好、看得见、双向数据加密!

截至到目前,超级盾成功抵御史上最大2.47T黑客DDoS攻击,超级盾具有无限防御DDoS、100%防CC的优势