在3月15日,美國聯邦調查局(FBI)在臉書及網站上發布公告,勒索軟體Pysa(也稱為Mespinoza)被揭露最近針對美國12個州及教育機構增加攻擊,而且還特別針對高等教育、K-12學校和神學院。而公告中也提到,去年FBI就已經察覺到Pysa對美國和其他國家的政府部門、教育機構、私人公司及醫療組織的攻擊,那些攻擊者透過破解RDP身分認證及網路釣魚電子郵件,使用兩套網路掃描工具進行偵察,並安裝開源工具,如PowerShell Empire、Koadic及Mimikatz等,然後他們會執行指令停用受害者的防毒功能,再部署勒索軟體。
接著,攻擊者會使用開源工具WinSCP,繼續加密所有的設備和資料,讓使用者無法使用文件、資料庫、虛擬機器、備份和應用程式,並在使用者的登入畫面,顯示詳細的贖金訊息及如何聯絡攻擊者的資訊,如果他們未成功得到贖金,會顯示資料將被上傳至暗網販賣。此外,勒索軟體還會在部署後放置在使用者的下載資料夾,在記憶體執行的處理程序檔名也會偽裝成svchost.exe。但在一些實例中,攻擊者也會將惡意檔案移除,上述兩種結果都讓受害者無法找到惡意軟體。
之後,攻擊者會將竊取資料上傳至雲端硬碟Mega(MEGA.NZ),但特別的是,他們在傳輸資料的方式,是受害者電腦安裝這套服務的個人端應用程式或進入MEGA網站進行上傳,相較於過往攻擊者外洩資料的慣用方式,此種作法可讓受害者事後可明確追查被竊走的資料。
熱門新聞
2024-04-30
2024-04-29
2024-04-29
2024-05-01
2024-04-30
2024-04-30
2024-04-29
2024-04-28
Advertisement