聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
今日,微软安全团队发布安全公告警告称,全球组织机构都应当部署新型勒索软件防御措施。该勒索软件被称为PonyFinal,已现身两个多月。
微软发布多条推文指出,“PonyFinal 是一款基于 Java 的勒索软件,被部署于人为操纵 (human-operated) 的勒索软件攻击中。”人为操纵勒索软件是勒索软件的一个子类,在这种攻击活动中黑客攻陷企业网络并自己部署勒索软件。相比之下,在之前出现的典型勒索软件活动中,如通过垃圾邮件或exploit包分发的勒索软件,感染进程依赖于诱骗用户启动 payload。
PonyFinal运作原理
微软表示,它正在追踪部署了 PonyFinal 勒索软件的事件。入侵点通常是公司的系统管理服务器上的账户,PonyFinal 使用猜测密码的暴力攻击方式攻陷该账户。
一旦进入受陷账户,微软指出,PonyFinal 团伙部署运行 PowerShell 逆向shell 的 Visual Basic 脚本来转储并窃取本地数据。另外,该勒索软件的操纵人员还部署“远程操纵系统绕过事件日志”。
PonyFinal 团伙在目标网络立足后,会传播到其它本地系统并部署真正的 PonyFinal 勒索软件。在多数情况下,攻击者攻击的是安装 Java 运行时环境 (JRE) 的工作站,原因是 PonyFinal 用 Java 语言编写而成。不过微软指出还发现犯罪团伙在运行勒索软件前在系统上安装 JRE 的实例。
微软指出,被 PonyFinal 勒索软件加密后,每个加密后的文件末尾都有 “.enc” 文件扩展。勒索金留言通常是 README_files.txt,内容一般是包含勒索金指令的简单文本文件。
该勒索软件的加密方式被认为是安全的,且目前不存在能够恢复加密文件的方法或免费解密器。
受害者遍布印度、伊朗和美国
勒索软件识别门户网站 ID-Ransomware 的两名创始人 Michael Gillespie 和 MalwareHunterTeam 指出,PonyFinal 勒索软件在今年早些时候现身,当时受害者较少,这证实之前它被用于仔细遴选的目标攻击活动中。
Emsisoft公司的恶意软件研究员Gillespie表示,在ID-Ransomware网站上上传样本的用户按流行度划分位于印度、伊朗和美国。
微软指出,PonyFinal在新冠肺炎疫情期间曾多次攻击医疗行业,执行类似攻击活动的勒索软件还包括RobbinHood、NetWalker、Maze、REvil (Sodinokibi)、Paradise、RagnarLocker、MedusaLocker和LockBit。
推荐阅读
因未交赎金,世界航天巨头机密文档遭勒索软件公开
DHS称美国某天然气管道运营商遭勒索软件攻击
原文链接
/article/microsoft-warns-about-attacks-with-the-ponyfinal-ransomware/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 ”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
点个“在看” ,加油鸭~
