由于世界各地的醫(yī)院都在努力應(yīng)對(duì)冠狀病毒危機(jī)��,網(wǎng)絡(luò)犯罪分子一直以勒索軟件和惡意信息竊取者為目標(biāo)���,不斷瞄準(zhǔn)醫(yī)療保健組織,研究機(jī)構(gòu)和其他政府組織�����。
這項(xiàng)由Palo Alto Networks發(fā)布并與The Hacker News分享的新研究證實(shí)����,“從網(wǎng)絡(luò)犯罪中獲利的威脅行為者將在任何程度上發(fā)揮作用,包括以最前沿的組織為目標(biāo)并每天對(duì)這種流行病做出反應(yīng)�。”雖然該安全公司沒有透露最新受害者的名字,但它表示��,加拿大犯罪組織試圖利用這場(chǎng)危機(jī)謀取經(jīng)濟(jì)利益�,因此加拿大政府醫(yī)療機(jī)構(gòu)和加拿大醫(yī)學(xué)研究大學(xué)均遭受了勒索軟件攻擊。
攻擊是在3月24日至3月26日之間檢測(cè)到的�,是作為以冠狀病毒為主題的網(wǎng)絡(luò)釣魚活動(dòng)的一部分而發(fā)起的����,該活動(dòng)在最近幾個(gè)月中已廣泛傳播�。
帕洛阿爾托網(wǎng)絡(luò)(Palo Alto Networks)的披露是在過去幾周遭受網(wǎng)絡(luò)攻擊的美國(guó)衛(wèi)生與公眾服務(wù)部(HHS),生物技術(shù)公司10x Genomics�,捷克布爾諾大學(xué)醫(yī)院以及哈默史密斯醫(yī)學(xué)研究公司所遭受的。
通過利用CVE-2012-0158交付勒索軟件根據(jù)研究人員的說法���,這場(chǎng)運(yùn)動(dòng)始于從模仿世界衛(wèi)生組織(noreply @ who [���。
] int)的欺騙性地址發(fā)送的惡意電子郵件����,這些電子郵件被發(fā)送給與積極參與COVID-19的衛(wèi)生保健組織相關(guān)的許多個(gè)人響應(yīng)努力。
電子郵件誘使包含名為“ 20200323-sitrep-63-covid-19.doc ” 的富文本格式(RTF)文檔����,該文檔在打開時(shí)試圖通過利用已知的緩沖區(qū)溢出漏洞(CVE-2012-0158)來提供EDA2勒索軟件。)�,位于MSCOMCTL.OCX庫中的Microsoft的ListView / TreeView ActiveX控件中。“有趣的是�����,即使文件名清楚地指明了一個(gè)特定的日期(2020年3月23日),該文件名也沒有在活動(dòng)過程中進(jìn)行更新以反映當(dāng)前日期��,” Palo Alto Networks研究人員指出����。“有趣的是,惡意軟件作者沒有試圖以任何方式使他們的誘餌看起來合法;從文檔的第一頁可以明顯看出有問題�。”執(zhí)行后,勒索軟件二進(jìn)制文件與命令和控制(C2)服務(wù)器聯(lián)系����,以在受害者的設(shè)備上下載用作主要勒索軟件感染通知的映像,然后傳輸主機(jī)詳細(xì)信息以創(chuàng)建自定義密鑰以加密文件��。系統(tǒng)桌面�����,擴(kuò)展名為“ .locked20”����。
除了接收密鑰之外,受感染的主機(jī)還使用HTTP Post請(qǐng)求將使用AES加密的解密密鑰發(fā)送到C2服務(wù)器�����。
Palo Alto Networks根據(jù)二進(jìn)制文件的代碼結(jié)構(gòu)以及勒索軟件的基于主機(jī)和基于網(wǎng)絡(luò)的行為,確定了勒索軟件病毒株為EDA2��。
EDA2和Hidden Tear被認(rèn)為是為教育目的而創(chuàng)建的首批開源勒索軟件之一���,但此后被黑客濫用以追求自己的利益����。
勒索軟件事件中的峰值勒索軟件攻擊是與大流行相關(guān)的其他網(wǎng)絡(luò)攻擊增加的結(jié)果����。
其中包括大量的網(wǎng)絡(luò)釣魚電子郵件,這些電子郵件試圖利用危機(jī)說服人們單擊將惡意軟件或勒索軟件下載到其計(jì)算機(jī)上的鏈接����。
此外�,Check Point Research的2020年第一季度品牌網(wǎng)絡(luò)釣魚報(bào)告指出,由于人們?cè)谑謾C(jī)上花費(fèi)更多時(shí)間來獲取與爆發(fā)和工作有關(guān)的信息�,因此手機(jī)網(wǎng)絡(luò)釣魚的數(shù)量激增。
發(fā)現(xiàn)攻擊者模仿了Netfpx��,Airbnb和Chase Bank等熱門服務(wù)來竊取登錄憑據(jù)�。
由于醫(yī)院持續(xù)受到時(shí)間的限制和大流行帶來的壓力,黑客指望這些組織支付贖金以恢復(fù)對(duì)關(guān)鍵系統(tǒng)的訪問并防止中斷患者護(hù)理����。
RisKIQ發(fā)布的報(bào)告上周發(fā)現(xiàn)����,2016年至2019年期間�,對(duì)醫(yī)療設(shè)施的勒索軟件攻擊上升了35%,在127起事件中�����,平均勒索需求為59,000美元�����。
這家網(wǎng)絡(luò)安全公司表示����,黑客還偏愛小型醫(yī)院和醫(yī)療中心,其原因包括精簡(jiǎn)的安全支持�����,增加的注意可能性和贖金要求等�����。
針對(duì)醫(yī)療部門的勒索軟件攻擊激增,促使國(guó)際刑警組織發(fā)出對(duì)成員國(guó)威脅的警告���。
該機(jī)構(gòu)說:“網(wǎng)絡(luò)犯罪分子正在使用勒索軟件以數(shù)字方式扣押醫(yī)院和醫(yī)療服務(wù)��,從而阻止他們?cè)L問重要的文件和系統(tǒng)����,直到支付贖金為止�。”為了保護(hù)系統(tǒng)免受此類攻擊,國(guó)際刑警組織警告組織要警惕網(wǎng)絡(luò)釣魚企圖��,加密敏感數(shù)據(jù)并進(jìn)行定期數(shù)據(jù)備份��,除了將它們離線存儲(chǔ)或存儲(chǔ)在其他網(wǎng)絡(luò)上以阻止網(wǎng)絡(luò)犯罪分子���。
面對(duì)不法分子以疫情名義發(fā)起的網(wǎng)絡(luò)釣魚攻擊���,普通大眾應(yīng)提高警惕�����、加強(qiáng)防范���,不給攻擊者以可乘之機(jī)�����,重點(diǎn)應(yīng)遵從 “四不要”:不要輕易點(diǎn)擊或者下載郵件���、自媒體平臺(tái)�����、即時(shí)通訊工具等渠道中與新型冠狀病毒相關(guān)的鏈接�����、可執(zhí)行程序或者文件����。
不要輕易在鏈接站點(diǎn)中輸入個(gè)人賬戶��、密碼�����、金融賬戶等敏感信息或進(jìn)行支付交易。
不要禁用殺毒軟件的更新功能����,應(yīng)及時(shí)更新殺毒軟件。
不要在非正規(guī)渠道進(jìn)行捐款����。
信息安全與我們的日常生活息息相關(guān),在疫情這種特殊時(shí)期���,個(gè)人應(yīng)提高對(duì)于自身信息安全的保護(hù)意識(shí)���,企業(yè)應(yīng)依法收集及使用個(gè)人信息,各大金融機(jī)構(gòu)在陸續(xù)復(fù)工的同時(shí)��,需遵守法律規(guī)制����、監(jiān)管條例以及相關(guān)技術(shù)標(biāo)準(zhǔn)等,確保在特殊時(shí)期不會(huì)被不法分子乘虛而入��。
