在不到四个小时的时间里, 量子勒索恶意软件加密受害者装置。
近日来,DFIR报告的安全研究人员检查了一次数量勒索软件攻击,从最初感染到完成加密受害者设备只需要3小时44分钟。
图 攻击时间轴
使用IcedID
据研究人员说,黑客首先对载有ISO文件的电子邮件进行拖网捕捞。
图 ISO文件
IcedID病毒被用作量子敲诈软件攻击的最初攻击矢量。IcedID是一个银行骑师模块。在过去5年中,它经常用于第二阶段的 " 有效载荷 " 部署、装货机和敲诈软件。攻击将使用钴罢工 获得远程访问。初始感染2小时后,为避免被发现,攻击者将钴打击插入C:WindowsSysWOW64cmd。
使用 IcedID
然后,攻击者将负责LSASS记忆,窃取Windows域凭单中的信息,以便在网络中进一步分发,攻击者在一小时内与环境中的其他服务器建立了RDP连接。
然后通过重复勒索软件(tsel)向使用C$共享文件夹的其他计算机分发勒索软件。
C:Windowssystem32cmd.exe /K copy ttsel.exe \c$windowstemp
最终,袭击者利用量子勒索程序 利用WMI和PsExec 的量子仓储器 来加密数据失窃和设备
wmic /node:"" /user:"Administrator" /password:"" process call create "cmd.exe /c c:windowstempttsel.exe"
psexec.exe \ -u Administrator -p "" -s -d -h -r mstdc -accepteula -nobanner c:windowstempttsel.exe
整个袭击耗时不到4小时,而且类似的行动往往在夜间或周末进行,网络和安全管理人员没有重大的机会来识别和应对袭击。
量子勒索恶意软件将在环境中加密所有主机文件,并分发以下勒索信件:README_TO_DecRYPT.html勒索信息,指出数据是在袭击期间采集的,如果受害者不支付赎金,则公布于众。
图 勒索信
根据受害者索要赎金的要求,有些受害者索要150 00美元以收回其装置,而另一些受害者索要数百万美元:
图 勒索赎金
在主页上,您可以建立并指定通信聊天密码:
图 勒索聊天会话
验证后,与攻击者的聊天窗口会出现:
图 勒索聊天窗口
总结
自2021年8月推出以来,量子敲诈软件开始了一系列袭击。 量子敲诈软件可能会在几个小时后完成快速敲诈袭击,让维权者几乎没有时间作出反应和反击,这是一种新型的网络威胁。
整个技术报告可在https://thedfairreport.com上查阅。
com/news/security/quantum-ransomware-seen-部署在快速网络攻击/。