时隔多月,黑客再次进行了大规模的跨国勒索软件攻击,致使西半球的大量网络遭遇了瘫痪的危机。
此次的攻击大约从星期一的某一时刻开始,受到最大影响的要属乌克兰的各基础设施了,其中包括:电力公司、机场、银行、国营电视台、邮政设施、以及大型工业制造商。
另外,受到此次攻击的还包括美国默克制药公司的海外分部、广告集团WPP、法国建筑材料供应商圣戈班、丹麦航运巨头马士基集团、以及位于宾夕法尼亚州匹兹堡市的Heritage Valley Health Systems公司。
目前,黑客的身份仍然未知,但他们要求受害者支付300美元的补偿金额。另外,在北美东海岸的正午时间,这一攻击依然在扩散。
IT服务公司Ivanti(前身为LANDESK公司)的首席信息安全官Phil Richards在一份声明中表示:“这一名为Petwrap的勒索软件是由曾经的Petya勒索软件(起源于2016年12月出现的GoldenEye恶意软件)演变而成的,它还利用了由美国国家安全局产生,并于2017年4月为 Shadow Brokers黑客组织所泄露的‘EternalBlue(永恒之蓝)’SMB漏洞。”
他补充:“Petya组件包括了许多功能,使得这一恶意软件能在受到攻击的系统上保持活力,以对主引导记录等进行攻击。与此同时,EternalBlue组件能使该勒索软件通过没有安装正确补丁或防病毒/反恶意软件的公司进行扩散。”
“这一例子很好地说明了将两个恶意软件组件结合在一起,能生成更具攻击性和弹性的恶意软件。”
上个月月初也发生了类似的勒索软件攻击行为,其使用了据说从NSA的网络武器工具包中窃取而得的EternalBlue漏洞,导致了150个国家总共遭遇了20多万次攻击。
黑客也为这一名为WannaCry的攻击要求获得300美元的比特币数字货币。
威胁侦测软件供应商Recorded Future的网络安全分析师Allan Liska表示:“此次的勒索软件与WannaCry利用了同一种EternalBlue漏洞,但它还包括一种次要功能,即:此次的攻击中还捆绑着一款窃取信息的软件。”
他继续说道:“除了完成本职任务,该勒索软件还会窃取证书。如果不能使用EternalBlue,它得从一个网络盒子中窃取走证书,然后进入另一盒子才能进行自我复制。”
Liska是于2016年11月发行的《勒索软件:防范数字敲诈》一书的作者之一,他表示,此次的新攻击行为反映了之前的恶意软件经历了一系列的复杂提升。
他说:“上个月进行攻击的只有 EternalBlue,那时,所有的安全专家还庆幸地表示‘幸好黑客没同时使用多种恶意软件’,没想到本月却应验了。”
Liska继续说:“这是WannaCry留下的软件,它增加了额外的功能,使其更易于在网络上进行传播了——包括那些安装了所有补丁的网络。”
对于IT管理服务提供商(MSP)来说,要想保护客户免受攻击,就还是得为他们提供全面且连续的补丁,并对其开展安全教育。
此外,Liska还建议MSP锁定系统,以阻止来自太多工作站的管理命令的运行。
他表示:“这些系统原本就应该接受本地锁定,这样一来,MSP才能帮助客户提高他们的网络安全性。”
“我们需要开始教导系统管理员要从电脑桌面上运行这些命令,并将其指向正进行故障排除的工作站。”
Liska估计,此次的勒索软件攻击会如WannaCry那样在未来的几天内减小其攻击范围和强度,并只会偶尔爆发几次。
更多信息推荐:>>>Anthem同意为数据泄露案支付1.15亿美元的和解金