Quantum 勒索軟件是 2021 年 8 月首次發(fā)現(xiàn)的一種病毒�,人們看到它進行了迅速升級的快速攻擊,使防御者幾乎沒有時間做出反應(yīng)����。
威脅參與者使用 IcedID 惡意軟件作為其初始訪問媒介之一,該惡意軟件部署 Cobalt Strike 進行遠程訪問�,并導(dǎo)致使用 Quantum Locker 進行數(shù)據(jù)盜竊和加密。
The DFIR Report的安全研究人員分析了 Quantum 勒索軟件攻擊的技術(shù)細節(jié)����,他們表示����,從最初感染到完成加密設(shè)備�����,這次攻擊僅持續(xù)了 3 小時 44 分鐘�。
Emotet malware now installs via PowerShell in Windows shortcut files
使用 IcedID 作為初始訪問
The DFIR Report 看到的攻擊使用 IcedID 惡意軟件作為對目標機器的初始訪問,他們認為這是通過包含 ISO 文件附件的網(wǎng)絡(luò)釣魚電子郵件到達的����。
IcedID 是過去五年使用的模塊化銀行木馬,主要用于第二階段有效負載部署����、加載程序和勒索軟件。
IcedID 和 ISO 檔案的組合最近被用于其他攻擊�����,因為這些文件非常適合通過電子郵件安全控制�。
在初始感染兩小時后,威脅參與者將 Cobalt Strike 注入 C:\Windows\SysWOW64\cmd.exe 進程以逃避檢測。
感染鏈的第一步 (DFIR)
在這個階段����,入侵者通過轉(zhuǎn)儲 LSASS 的內(nèi)存來竊取 Windows 域憑據(jù)�,從而使它們能夠通過網(wǎng)絡(luò)橫向傳播。
“在接下來的一個小時里����,攻擊者繼續(xù)與環(huán)境中的其他服務(wù)器建立 RDP 連接,”DFIR 在報告中詳細說明���。
“一旦威脅者掌握了域的布局����,他們就準備通過 C$ 共享文件夾將勒索軟件(名為 ttsel.exe)復(fù)制到每個主機來部署勒索軟件�������!
最終����,威脅參與者使用 WMI 和 PsExec 部署 Quantum 勒索軟件有效負載并加密設(shè)備。
這次攻擊只用了四個小時,速度相當快����,而且由于這些攻擊通常發(fā)生在深夜或周末,它并沒有為網(wǎng)絡(luò)和安全管理員提供檢測和響應(yīng)攻擊的大窗口���。
有關(guān) Quantum Locker 使用的 TTP 的更多詳細信息���,DFIR 報告提供了廣泛的妥協(xié)指標列表以及 IcedID 和 Cobalt Strike 連接到的用于通信的 C2 地址。
誰是量子鎖��?
Quantum Locker 勒索軟件是MountLocker 勒索軟件操作的更名����,該操作于 2020 年 9 月推出。
從那時起�����,勒索軟件團伙將其運營重新命名為各種名稱�,包括 AstroLocker、XingLocker���,現(xiàn)在處于當前階段的是 Quantum Locker��。
Quantum 品牌更名發(fā)生在 2021 年 8 月�����,當時勒索軟件加密器開始將.quantum文件擴展名附加到加密文件名并刪除名為README_TO_DECRYPT.html的贖金票據(jù)��。
這些筆記包括一個指向 Tor 贖金協(xié)商站點的鏈接和一個與受害者相關(guān)聯(lián)的唯一 ID����。贖金記錄還指出�����,數(shù)據(jù)在攻擊期間被盜�����,如果不支付贖金����,攻擊者威脅要公布這些數(shù)據(jù)。
Quantum Locker 贖金票據(jù)
Quantum Locker 贖金記錄
來源:BleepingComputer
雖然 DFIR 報告指出���,他們在分析的攻擊中沒有發(fā)現(xiàn)任何數(shù)據(jù)泄露活動����,但 BleepingComputer 過去曾證實,他們確實在攻擊期間竊取數(shù)據(jù)并以雙重勒索計劃泄露數(shù)據(jù)�。
該團伙的贖金要求因受害者而異,有些攻擊需要 15 萬美元才能獲得解密器�����,而 BleepingComputer 看到的其他攻擊要求數(shù)百萬美元�,如下所示。
Quantum Locker 索要 380 萬美元的贖金
要求 380 萬美元贖金的 Quantum Locker
資料來源:BleepingComputer
值得慶幸的是��,Quantum Locker 不像之前的版本那樣非����;钴S,每個月只有少數(shù)攻擊����。
然而,雖然它們可能不像 Conti�、LockBit 和 AVOS 等其他勒索軟件操作那樣活躍,但它們?nèi)匀皇且粋重大風(fēng)險���,對于網(wǎng)絡(luò)防御者來說�����,了解與其攻擊相關(guān)的 TTP 很重要���。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
