黑客在冠状病毒大流行期间使用勒索软件锁定关键医疗设施. 2020-04-23
由于世界各地的医院都在努力应对冠状病毒危机,网络犯罪分子一直以勒索软件和恶意信息窃取者为目标,不断瞄准医疗保健组织,研究机构和其他政府组织。
这项由Palo Alto Networks发布并与The Hacker News分享的新研究证实,“从网络犯罪中获利的威胁行为者将在任何程度上发挥作用,包括以最前沿的组织为目标并每天对这种流行病做出反应。”
虽然该安全公司没有透露最新受害者的名字,但它表示,加拿大犯罪组织试图利用这场危机谋取经济利益,因此加拿大政府医疗机构和加拿大医学研究大学均遭受了勒索软件攻击。
攻击是在3月24日至3月26日之间检测到的,是作为以冠状病毒为主题的网络钓鱼活动的一部分而发起的,该活动在最近几个月中已广泛传播。
帕洛阿尔托网络(Palo Alto Networks)的披露是在过去几周遭受网络攻击的美国卫生与公众服务部(HHS),生物技术公司10x Genomics,捷克布尔诺大学医院以及哈默史密斯医学研究公司所遭受的。
通过利用CVE-2012-0158交付勒索软件
根据研究人员的说法,这场运动始于从模仿世界卫生组织(noreply @ who [。] int)的欺骗性地址发送的恶意电子邮件,这些电子邮件被发送给与积极参与COVID-19的卫生保健组织相关的许多个人响应努力。
电子邮件诱使包含名为“ 20200323-sitrep-63-covid-19.doc ” 的富文本格式(RTF)文档,该文档在打开时试图通过利用已知的缓冲区溢出漏洞(CVE-2012-0158)来提供EDA2勒索软件。),位于MSCOMCTL.OCX库中的Microsoft的ListView / TreeView ActiveX控件中。
“有趣的是,即使文件名清楚地指明了一个特定的日期(2020年3月23日),该文件名也没有在活动过程中进行更新以反映当前日期,” Palo Alto Networks研究人员指出。
“有趣的是,恶意软件作者没有试图以任何方式使他们的诱饵看起来合法;从文档的第一页可以明显看出有问题。”
执行后,勒索软件二进制文件与命令和控制(C2)服务器联系,以在受害者的设备上下载用作主要勒索软件感染通知的映像,然后传输主机详细信息以创建自定义密钥以加密文件。系统桌面,扩展名为“ .locked20”。
除了接收密钥之外,受感染的主机还使用HTTP Post请求将使用AES加密的解密密钥发送到C2服务器。
Palo Alto Networks根据二进制文件的代码结构以及勒索软件的基于主机和基于网络的行为,确定了勒索软件病毒株为EDA2。EDA2和Hidden Tear被认为是为教育目的而创建的首批开源勒索软件之一,但此后被黑客滥用以追求自己的利益。
勒索软件事件中的峰值
勒索软件攻击是与大流行相关的其他网络攻击增加的结果。其中包括大量的网络钓鱼电子邮件,这些电子邮件试图利用危机说服人们单击将恶意软件或勒索软件下载到其计算机上的链接。
此外,Check Point Research的2020年第一季度品牌网络钓鱼报告指出,由于人们在手机上花费更多时间来获取与爆发和工作有关的信息,因此手机网络钓鱼的数量激增。发现攻击者模仿了Netflix,Airbnb和Chase Bank等热门服务来窃取登录凭据。
由于医院持续受到时间的限制和大流行带来的压力,黑客指望这些组织支付赎金以恢复对关键系统的访问并防止中断患者护理。RisKIQ
发布的报告上周发现,2016年至2019年期间,对医疗设施的勒索软件攻击上升了35%,在127起事件中,平均勒索需求为59,000美元。这家网络安全公司表示,黑客还偏爱小型医院和医疗中心,其原因包括精简的安全支持,增加的注意可能性和赎金要求等。
针对医疗部门的勒索软件攻击激增,促使国际刑警组织发出对成员国威胁的警告。
该机构说:“网络犯罪分子正在使用勒索软件以数字方式扣押医院和医疗服务,从而阻止他们访问重要的文件和系统,直到支付赎金为止。”
为了保护系统免受此类攻击,国际刑警组织警告组织要警惕网络钓鱼企图,加密敏感数据并进行定期数据备份,除了将它们离线存储或存储在其他网络上以阻止网络犯罪分子。
面对不法分子以疫情名义发起的网络钓鱼攻击,普通大众应提高警惕、加强防范,不给攻击者以可乘之机,重点应遵从 “四不要”:
- 不要轻易点击或者下载邮件、自媒体平台、即时通讯工具等渠道中与新型冠状病毒相关的链接、可执行程序或者文件。
- 不要轻易在链接站点中输入个人账户、密码、金融账户等敏感信息或进行支付交易。
- 不要禁用杀毒软件的更新功能,应及时更新杀毒软件。
- 不要在非正规渠道进行捐款。
信息安全与我们的日常生活息息相关,在疫情这种特殊时期,个人应提高对于自身信息安全的保护意识,企业应依法收集及使用个人信息,各大金融机构在陆续复工的同时,需遵守法律规制、监管条例以及相关技术标准等,确保在特殊时期不会被不法分子乘虚而入。
转自今日头条/GDCA数安时代