卡巴斯基对欧洲和亚洲两起案例进行事件分析时,发现了VHD勒索软件。这种勒索软件最早于2020年春被公开讨论,其所有者和运营者为Lazarus,一个著名的朝鲜APT组织。Lazarus创建和分发勒索软件的举动意味着其战略的改变,表明该组织准备进入大规模狩猎以获取经济利益,这在政府资助的APT组织中极为罕见。
2020年3月和4月,包括卡巴斯基在内的数个网络安全组织报告了 VHD 勒索软件。这是一种被设计用来从受害者那里勒索钱财的恶意程序,其之所以从众多勒索软件中脱颖而出,是因为其自我复制功能。这种恶意软件使用受害人专用凭据编译的传播工具,让人联想到 APT 活动。尽管在当时,攻击幕后的行为者是谁还不清楚,但卡巴斯基研究人员在对事件进行分析后,发现这些已知的 Lazarus 工具也曾用在针对法国和亚洲企业的攻击,因此我们非常有把握地将VHD勒索软件与 Lazarus 联系在一起。
2020年3月至2020年5月期间,分别进行了两次涉及 VHD 勒索软件的独立调查。第一起事件发生在欧洲,对其进行的调查虽然没有给出很多关于幕后黑手的提示,但类似于APT组织使用的传播技术让调查组感到好奇。此外,这次的攻击也不符合已知大型APT 组织惯用的攻击手法。另外,获取到的 VHD 勒索软件样本数量非常有限——再加上很少的公开参考资料——表明这种勒索软件家族可能不会像通常那样在黑市论坛上进行广泛交易。
第二次涉及 VHD 勒索软件的调查提供了一个完整的感染链,并使研究人员能够将该勒索软件与 Lazarus 联系起来。在各种发现中,最重要的一点是发现攻击者使用了一个后门程序,而该后门则是被称为 MATA 的多平台框架的一部分,卡巴斯基最近对该框架进行了深入的报道,并通过一些代码和实用程序的相似性,该后门与上述威胁行为者联系起来。
根据已确立的联系,表明 Lazarus 是目前已经记录在案的 VHD 勒索软件活动的幕后主使。这也是首次确定 Lazarus 组织为获取经济利益而采取针对性的勒索软件攻击,他们创建并独自运行了自己的勒索软件,这在网络犯罪生态系统中并不常见。
“我们知道Lazarus一直专注于获取经济利益,但是自从WannaCry之后,我们没有发现该组织与勒索软件有关。尽管很明显,该组织无法通过这种针对性的勒索软件的打一枪换一个地方的运行方法来与其他网络犯罪团伙的效率相提并论,但该组织转向这种类型的攻击这一事实非常令人担忧。全球勒索软件威胁本身就已经够大了,这种威胁往往会给受害组织带来巨大的经济影响,甚至使其破产。我们必须问自己的问题是这些攻击是孤立的实验还是新趋势的一部分,因此,私营公司是否需要担心成为国家支持的威胁行为者的受害者,”卡巴斯基全球研究和分析团队高级安全研究员Ivan Kwiatkowski评论说:“无论如何,企业和组织都需要谨记,数据保护仍然比以往任何时候都重要——-创建重要数据的隔离备份和投资于反应式防御是绝对必须做的事情。”
为了帮助企业不受勒索软件的危害,安全专家建议采取以下步骤:
- 减少勒索软件通过网络钓鱼和疏忽大意入侵企业的几率:向员工解释如何遵循简单的规则来帮助公司避免遭遇勒索软件事件。有些专门的培训课程也可以提供帮助,例如卡巴斯基自动化安全意识平台中提供的课程。
- 确保所有软件、应用程序和系统及时更新。上课用具有漏洞和补丁管理功能的保护解决方案,帮助发现网络中尚未修补的漏洞。
- 对您的网络进行网络安全审计,并对网络周边或网络内部发现的任何薄弱之处进行补救。
- 通过采用像卡巴斯基集成端点安全这样的解决方案,确保所有端点和服务器都部署恰当的保护。它将端点安全与沙盒和EDR功能结合起来,能够有效地保护企业端点免受新型勒索软件的侵害,并对企业端点上检测到的威胁进行即时监控。
- 为您的安全团队提供最新的威胁情报,使其了解威胁行为者和网络罪犯使用的最新工具、技术和策略。
- 使用勒索软件是一种犯罪行为。如果你成为受害者,请不要支付赎金。而是要向当地警方上报案件。此外,可以试着在互联网上查找解密程序,您可以在以下网站找到一些解密程序:https://www.nomoreransom.org/en/index.html
想要了解更多有关 VHD 勒索软件相关的事件详情,请访问Securelist.com.
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球250,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.
