关键信息基础设施安全动态周报【2021年第51期】
发布时间:
2021-12-31
来源:
作者:
天地和兴
访问量:
334
目 录
第一章 国内关键信息基础设施安全动态
(一)QNAP的NAS设备遭受ech0raix勒索软件攻击
第二章 国外关键信息基础设施安全动态
(一)施耐德Evlink电动车充电站存在7个安全漏洞
(二)物流公司DW Morgan泄露超100 GB客户数据
(三)密码管理程序LastPass遭受撞库攻击
(四)越南最大加密交易平台ONUS遭受log4j遭受勒索
(五)新型勒索软件Rook与Babuk有相似之处
(六)研究人员发现新型隐蔽恶意软件BLISTER
(七)法国IT服务公司Inetum遭受BlackCat勒索软件攻击
(八)阿尔巴尼亚泄露超60万公民数据
(九)挪威媒体公司Amedia遭受网络攻击迫使系统关闭
(十)Shutterfly网站遭受Conti勒索软件攻击导致服务中断
(十一)AvosLocker攻击美国政府机构后提供免费解密程序
第一章 国内关键信息基础设施安全动态
(一)QNAP的NAS设备遭受ech0raix勒索软件攻击
eCh0raix勒索软件(又名QNAPCrypt)在圣诞节前攻击了中国台湾厂商威联通(QNAP)的网络附加存储(NAS)设备,以管理员权限控制了设备。
管理QNAP和Synology NAS系统的人员一直在定期报告eCh0raix勒索软件攻击,但更多用户在12月20日左右开始披露事件。ID Ransomware证实了攻击数量的激增,提交的数量从12月19日开始增加,并在12月26日消退。
目前最初的感染媒介仍不清楚。一些用户承认他们并没有正确保护设备,例如通过不安全的连接将其暴露在互联网上,其他人声称QNAP Photo Station中的一个漏洞允许攻击者造成严重破坏。
无论攻击路径如何,eCh0raix勒索软件攻击者似乎都在管理员组中创建了一个用户,这允许他们加密NAS系统上的所有文件。一些将NAS设备用于商业目的QNAP用户在论坛上报告称,恶意软件加密了图片和文档。
除了攻击次数激增之外,该活动的突出之处在于,该攻击者错误地输入了赎金票据的扩展名,并使用了.TXTT扩展名。虽然这不妨碍查看说明,但可能会给某些用户带来问题,他们将不得不使用特定程序(如记事本)指向操作系统打开文件或将其加载到所述程序中。
在最近的攻击中,研究人员发现ech0raix勒索软件的要求从0.024(1,200美元)到0.06比特币(3,000美元)不等。一些用户没有备份选项,不得不向威胁行为者付费以恢复文件。需要注意的是,对于使用2019年7月17日之前旧版本的eCh0raix勒索软件锁定的文件,有一个免费的解密程序。但是没有免费的解决方案可以解密由恶意软件的最新变体(版本1.0.5和1.0.6)加密的数据。
eCh0raix/QNAPCrypt的攻击始于2019年6月,此后一直是个持续威胁。今年早些时候,QNAP警告其用户,今年早些时候又发生了一系列针对弱密码设备的eCh0raix攻击。用户应遵循QNAP建议,以确保适当保护其NAS设备及其存储的数据。
参考来源:BleepingComputer http://33h.co/k9b8g
第二章 国外关键信息基础设施安全动态
(一)施耐德Evlink电动车充电站存在7个安全漏洞
研究人员Tony Nasr发现施耐德电气的EVlink电动车充电站存在7个安全漏洞,包括一个严重漏洞和五个高危漏洞。受影响的设备包括EVlink City、Parking和Smart Wallbox,这些产品为私人物业、半公共停车场和路边充电设施提供电动汽车充电站。
施耐德在12月14日发布了修复补丁,并敦促客户立即应用补丁或缓解措施。这些漏洞影响的设备包括EVlink City(EVC1S22P4和EVC1S7P4)、Parking(EVW2、EVF2和EVP2PE)和Smart Wallbox(EVB1A),以及一些已达到使用寿命的产品。
这些安全漏洞包括跨站请求伪造(CSRF)和跨站脚本(XSS)漏洞,可利用这些漏洞代表合法用户执行操作。以及可利用另外一个漏洞通过暴力攻击访问充电站的web界面。最严重漏洞的CVSS得分为9.3分,是服务器端请求伪造(SSRF)漏洞。
施耐德警告表示,不采取行动可能会导致充电站的设置和帐户被篡改和泄露。“这种篡改可能导致拒绝服务攻击等行为,导致充电站未经授权使用、服务中断、充电数据记录无法发送到监管系统、以及充电站配置的修改和泄露。”利用这些漏洞需要物理访问系统的内部通信端口,如果充电站可以从Web访问,也可以从本地网络甚至互联网发起攻击。
Nasr表示,“利用连接互联网的充电站不需要访问LAN,因此使攻击媒介非常强大和有效。在这种情况下,攻击者会在尝试利用其漏洞之前执行互联网范围的扫描,以搜索可行的EVCS(电动汽车充电站)。但应该注意的是,EVCS的连接在实际利用过程中没有任何差异,即触发漏洞。例如,如果无法通过互联网访问EVCS,则假设攻击者可以访问LAN,这是一项相对简单的任务,例如破解Wi-Fi网络密码、具有默认配置的网络等,EVCS连接到的地方,以便进行本地但远程的利用。按照这两种方法,攻击者可以通过利用这些漏洞发起各种网络攻击来控制底层EVCS。”
Nasr指出,利用某些漏洞,如SSRF漏洞,需要发送特制的请求,并且不需要任何用户交互。“这种攻击允许攻击者利用受感染的EVCS作为网络代理,实际上构建了一个僵尸网络,并对其他设备进行分布式网络攻击,例如分布式拒绝服务(DDoS)。”
另一方面,利用XSS和CSRF漏洞确实需要一些用户交互,例如单击链接。“虽然最具破坏性的攻击媒介是针对面向互联网的EVlink的远程网络攻击,但攻击者仍然可以通过跨LAN瞄准其管理系统,对这些站点的生态系统构成巨大威胁,因为从根本上讲,EVlink设置需要网络连接以实现更高效的远程监测和管理。”
根据使用Shodan和Censys等服务进行的互联网搜索,Nasr表示,有数以千计的互联网暴露系统。“应该注意的是,当讨论目前不面向互联网但已配置网络的EVlink充电站时,这个数量会大大增加,仍然可以通过LAN上的特定向量利用上述漏洞在本地进行攻击。”
Nasr表示,这些漏洞是在对电动汽车充电站管理系统进行的一项更大规模研究中发现的。该研究的完整结果将于明年公布,研究人员目前不想透露该研究中其他供应商和产品的名称。随着电动汽车的普及,网络安全研究人员对充电站的兴趣也在增加。
参考来源:SecurityWeek http://33h.co/kwvgh
(二)物流公司DW Morgan泄露超100 GB客户数据
Website Planet研究人员发现了一个配置错误的Amazon S3存储桶,其中存储了美国物流公司DW Morgan超过100 GB的敏感数据和250万个文件,包括DW Morgan全球员工和客户的财务、运输、运输、个人和敏感记录。其中包括知名公司爱立信和思科。
DW Morgan总部位于加利福尼亚州普莱森顿,业务遍及全球。
尽管该数据库于2021年11月12日被发现,但其详细信息在上周才由Website Planet共享。更糟糕的是,该存储桶在没有任何安全身份验证或密码的情况下仍然向公众公开,这意味着任何了解AWS存储桶功能的人都可以访问数据。
在错误配置期间暴露的数据类型包括:签名、姓名、附件、电话号码、订购的商品、货物损坏、处理照片、工艺细节、账单地址、发票日期、运输条码、未知文件、送货地址、设施位置、出货照片、商品价格、包装标签照片、现场文件图片、运输计划和协议。
DW Morgan在Website Planet发出初始警报的四天内保护了数据库。但是尚不清楚数据库在暴露期间是否被恶意威胁行为者访问过。尽管如此,DW Morgan的员工或客户应该保持警惕。我们还可以预料到网络钓鱼诈骗、垃圾邮件攻击或装有恶意软件的恶意电子邮件会突然增加。
Website Planet研究人员在其博客中还表示,“企业应该教育员工有关网络钓鱼、恶意软件、欺诈等形式的网络犯罪的威胁。此外,暴露的公司可以实施允许员工在通过电话或电子邮件相互联系时进行身份验证的系统。”
参考来源:HackRead http://33h.co/k9bq0
(三)密码管理程序LastPass遭受撞库攻击
密码管理应用程序LastPass证实,其遭受了威胁行为者的撞库攻击,攻击者使用的是从第三方漏洞获得的电子邮件地址和密码。LastPass表示其没有账户在撞库攻击中遭到入侵,但许多LastPass用户声称在收到电子邮件警告后,其主密码已被泄露。LastPass通过发送电子邮件警告通知用户,由于来源位置异常,登录尝试已被阻止。
LastPass在警告中表示,“有人刚刚使用您的主密码尝试从我们无法识别的设备或位置登录您的帐户。LastPass阻止了这次尝试,但你应该仔细看看。这是你吗?”
Nikolett Bacso-Albaum全球公关/AR高级总监表示,“LastPass调查了最近有关被阻止登录尝试的报告,并确定该活动与相当常见的机器人相关活动有关。恶意行为者试图访问用户帐户(在本例中为LastPass)使用从与其他非附属服务相关的第三方违规行为中获得的电子邮件地址和密码。需要注意的是,我们没有任何迹象表明帐户已成功访问,或LastPass服务以其他方式被未经授权的一方破坏。我们会定期监控此类活动,并将继续采取旨在确保LastPass、其用户及其数据受到保护和安全的措施。”
许多收到电子邮件警告的用户表示,他们的主密码仅用于访问LastPass服务,并未与其他网络服务共享。这种情况如果得到证实,则表明密码管理器服务已被入侵,但目前没有证据表明密码管理器服务已被入侵。
如果考虑到一些客户在报告更改了他们的主密码后表示他们收到了另一个登录警告,情况可能会更糟。一些用户还报告说他们无法删除和禁用他们的帐户。建议LastPass用户启用多重身份验证以保护其帐户。
参考来源:SecurityAffairs http://33h.co/k99jz
(四)越南最大加密交易平台ONUS遭受log4j遭受勒索
越南最大的加密货币平台之一ONUS遭受了勒索软件攻击,攻击者利用的是第三方支付软件Cyclos中存在的Apache远程代码执行漏洞Log4j,由于AWS S3存储桶配置错误。攻击者在Cyclos提供修复补丁之前就利用了软件中的漏洞进行攻击。勒索赎金为500万美元,由于ONUS拒绝支付赎金,威胁行为者将近200万客户数据在黑客论坛上出售,包括姓名、电子邮件、电话号码、地址、E-KYC数据、哈希口令、交易历史和其他加密信息。
ONUS是一款加密货币投资应用程序,于2020年3月首次在Android和iOS上推出。ONUS于24日在其网站上发布消息称,其系统因大规模网络攻击而受到损害。第三方能够未经授权访问并窃取某些关键的ONUS数据。
与ONUS合作并参与调查的越南网络安全公司CyStack在其网站上28日表示,安全事件始于Cyclos提供的支付软件中的Log4Shell漏洞。Cyclos发言人表示,其对这一事件感到非常震惊和失望,并已与ONUS的安全合作伙伴CyStack保持联系。除了确认事件细节外,CyStack首席执行官Trung Nguyen表示,“我们正在与Cyclos合作,向他们提供我们在攻击后发现的漏洞的详细信息。”
在消息传出之际,安全专家警告表示,Apache远程代码执行漏洞存在于全球数百万或数亿台设备中。该漏洞在12月9日首次披露,导致安全团队争先恐后地识别易受攻击的设备,此后不定期推出补丁。
CyStack研究人员表示,由于亚马逊AWS S3存储桶配置错误,攻击者利用Cyclos软件中的漏洞进行攻击,甚至在供应商能够通知其客户并为其提供补丁指令之前。ONUS在收到警告时修补了该漏洞,但攻击者可能已经渗透到系统中。安全部门表示,大约200万ONUS用户信息被泄露,包括姓名、电子邮件和电话号码、地址、E-KYC数据、哈希密码、交易历史和其他加密信息。
ONUS在其警报中表示,威胁行为者“利用其系统上一组库中的漏洞进入沙箱服务器。但是由于配置问题,该服务器包含的信息使攻击者能够访问我们的数据存储系统,并窃取了一些重要数据。”
然而ONUS管理员澄清表示,网络攻击“没有影响ONUS的任何资产”。违规后,ONUS表示已将其资产管理和存储系统升级到ONUS托管v2.0,并敦促用户更改其应用程序密码。ONUS管理员表示,“我们真诚地道歉,并希望得到您的理解。这也是我们自我审查、升级和进一步保护系统并确保用户的安全的机会。”
参考来源:InfoRiskToday http://33h.co/k9ksv
(五)新型勒索软件Rook与Babuk有相似之处
SentinelLabs研究人员发现,新型勒索软件Rook的技术细节及感染链与Babuk有许多相似之处,实际上就是用在网上泄露的Babuk代码构建的。
Rook最初于11月26日在VirusTotal上出现,其第一个受害者是一家哈萨克斯坦金融机构,于在11月30日被确认。除了加密该组织的文件外,Rook组织还窃取了大约1 TB的数据,用于敲诈勒索。
该勒索软件是通过第三方框架分发的,例如Cobalt Strike,但SentinelLabs研究人员表示,也观察到了携带Rook的网络钓鱼电子邮件。
一旦在受害者的机器上执行,恶意软件就会尝试终止所有可能阻碍加密过程的进程。攻击者还试图禁用安全产品,以及删除卷影副本,以防止受害者恢复他们的数据。在加密过程中,勒索软件会将.ROOK扩展名附加到加密文件中,一旦该过程完成,它就会从机器中删除自身。
SentinelLabs表示,“Rook和Babuk之间有许多代码相似之处。根据目前可用的样本,这似乎是我们在2021年看到的各种Babuk源代码泄漏的机会结果,包括编译的构建器和实际源的泄漏。”
两个恶意软件家族都使用:相同的API来检索服务名称和状态,枚举所有服务以停止硬编码列表中的服务;枚举正在运行的进程,并终止硬编码列表中的进程的相同函数;用于进程终止的Windows重启管理器API;和类似的驱动器枚举代码;并且两者都执行一系列环境检查。
Rook的运营商进行双重勒索,威胁受害者公开被盗数据,除非支付赎金以换取解密工具。在Tor网站上,该组织已经列出了三家受害公司,以及从不支付赎金的公司窃取的数据。
SentinelLabs表示,“鉴于勒索软件的经济性,低风险高回报,以及像Babuk这样的泄漏源代码随时可用,我们现在看到的新勒索软件组织的扩散不可避免地只会继续下去。”
参考来源:SecurityWeek http://33h.co/kw716
(六)研究人员发现新型隐蔽恶意软件BLISTER
Elastic研究人员发现了一个恶意活动,该活动依赖有效的代码签名证书将恶意代码伪装成合法的可执行文件。Blister针对Windows系统,充当其他恶意软件的加载程序,是一种检测率较低的新型恶意软件。Blister使用Sectigo颁发的有效代码签名证书来逃避检测。BLISTER加载在Windows系统内存中直接执行的第二阶段有效载荷,并保持持久性。恶意代码检测率较低,实施多种技巧躲避检测。
研究人员表示,“有效的代码签名证书用于签署恶意软件,以帮助攻击者保持在安全社区的视线之下。我们还发现了活动中使用的一种新型恶意软件加载程序,我们将其命名为BLISTER。观察到的大多数恶意软件样本在VirusTotal中的检测率非常低,或者没有。目前攻击者的感染媒介和目标尚不清楚、”
用于签署加载程序代码的证书是由Sectigo为一家名为Blist LLC的公司颁发,该公司拥有来自俄罗斯提供商Mail.Ru的电子邮件地址。加载程序被嵌入到合法的库中,如colorui.dll,为了避免引起怀疑,最初可以从简单的dropper可执行文件写入磁盘。
执行时,BLISTER使用简单的4字节XOR例程对存储在资源部分中的引导代码进行解码。恶意软件作者严重混淆了引导代码,该代码在执行前会先休眠10分钟,以试图逃避沙箱分析。然后加载程序解密嵌入的恶意软件有效载荷,使用CobaltStrike和BitRat作为嵌入的有效载荷。有效载荷被加载到当前进程中,或注入到新生成的WerFault.exe进程中。
为了实现持久化,BLISTER将自身复制到C:\ProgramData文件夹,并重新命名rundll32.exe的本地副本。然后会创建一个指向当前用户的启动文件夹的链接,以在登录时作为explorer.exe的子项启动恶意软件。
参考来源:SecurityAffairs http://33h.co/kw7y8
(七)法国IT服务公司Inetum遭受BlackCat勒索软件攻击
法国IT服务公司Inetum Group在圣诞节前遭受了勒索软件攻击,对其运营影响有限。
Inetum是一家提供数字服务和解决方案的敏捷IT服务公司,也是一家帮助公司和机构充分利用数字流的全球集团,在超过26个国家/地区开展业务,为各行业公司提供数字服务,包括:航空航天和国防、银行、汽车、能源和公用事业、医疗保健、保险、零售、公共部门、运输、电信和媒体。集团拥有近27,000名员工,2020年收入为19.66亿欧元。作为众多公司的服务提供商,收入接近20亿美元,是勒索软件团伙的有吸引力的目标。
12月19日星期日,Inetum成为勒索软件攻击的目标,该攻击影响了其在法国的部分业务,并没有蔓延到客户使用的大型基础设施。Inetum在新闻稿中表示,“Inetum客户的主要基础设施、通信、协作工具或交付操作均未受到影响。”
该集团的危机部门迅速采取行动,保护敏感连接,如果受到威胁,可能会使客户面临风险。为此,运营团队隔离了受影响网络上的所有服务器,并终止了客户端VPN连接。
初步调查确定了攻击中使用的勒索软件菌株,并且在事件期间没有利用Log4j漏洞。Inetum Group没有透露所用恶意软件的名称,但据法国出版物LeMagIt主编Valéry Marchive称,攻击者使用了BlackCat勒索软件,又名ALPHV和Noberus。
赛门铁克研究人员发现,这种文件加密恶意软件是用Rust编写的,这对于勒索软件操作来说是非典型的,并且至少从11月18日起就被用于攻击。BlackCat具有许多高级功能,并带有非常灵活的配置,允许传播到其他计算机、终止虚拟机和ESXi管理程序、以及擦除它们。
Inetum Group已将此次攻击通知了当局,并正在与专门的网络犯罪部门合作。还要求第三方提供事件响应服务。目前对客户提供服务的操作是安全的,消息传递和协作系统不受影响。
参考来源:BleepingComputer http://33h.co/kw7jt
(八)阿尔巴尼亚泄露超60万公民数据
阿尔巴尼亚637,138名在私营和公共部门工作的居民的工资及个人敏感信息遭大规模泄露,占该国总人口的22%以上,对此该国总理Edi Rama表示道歉。两份Excel文件开始在网上流传,其中显示了该国数千名受雇成年人的姓名、身份证号码/护照号码、电话号码、雇主、职位和工资。据信这些数据来源于阿尔巴尼亚社会保险研究所办公室。
Rama表示,“根据初步分析,这看起来更像是内部渗透,而不是外部网络攻击。我有一个想法,即这样做是为了在人民和政府之间制造混乱和敌意。”
地拉那检察官办公室正在调查此事件,数据泄露似乎来自税务管理部门,该泄密事件以电子表格文件的形式出现,其中包含在阿尔巴尼亚报税的人员(包括外国公民)的详细数据。泄露的文件已在网上流传,主要是通过WhatsApp即时通讯工具。多家阿尔巴尼亚媒体已经掌握了泄露的数据库。
该文件包含2021年1月的姓名、身份证号码、月薪、职位和雇主名称。拥有数据的税务总局和社会保险研究所现在成为调查重点。
政府通过其发言人Endri Fuga作出回应,称泄密是“犯罪”,但未对数据来源作出解释。Fuga表示,“初步分析清楚地表明,在所发布文件的领域中,没有对2021年1月至4月期间的工资单数据库进行数字导出,并且该文件是多个不同部分的结合,因为一些公式与官方格式不符。”
总统Ilir Meta表示,这起泄密事件是“对人权、自由和人的尊严、法律和宪法的公然侵犯”,并称之为“无法无天的重复事件”。
参考来源:Tirana Times http://33h.co/kw78b
(九)挪威媒体公司Amedia遭受网络攻击迫使系统关闭
挪威第二大媒体公司Amedia披露其遭受了严重的网络攻击,导致其多个中央计算机系统关闭。该事件发生在12月27日至28日晚,攻击了该公司的IT公司Amedia Teknologi管理的系统。
Amedia技术执行副总裁Pål Nedregotten在一份声明中表示,此次攻击正在阻止该公司印刷周三版的实体报纸,并且在问题得到解决之前,印刷机将继续停止印刷。黑客还影响了公司的广告和订阅系统,阻止广告商购买新广告,并阻止订阅者订购或取消订阅。
目前尚不清楚Amedia的个人信息是否已被泄露,是否遭受了勒索软件攻击,以及威胁行为者是否窃取了订阅者和员工的个人信息。受攻击影响的订阅系统包含客户的姓名、地址、电话号码和订阅历史。该公司表示密码、阅读历史和财务信息等数据不受影响。
Amedia出版了90多种报纸和其他出版物,覆盖超过250万挪威人。Amedia全部或部分拥有50家本地和地区报纸,拥有在线报纸和印刷机,以及自己的新闻通讯社Avisenes Nyhetsbyrå。该公司还在俄罗斯以Prime Print品牌拥有并经营着一组印刷厂。
Nedregotten在声明中表示,“我们正在全面了解情况,但尚不了解造成损害的全部可能性。我们已经采取了全面措施来限制损失并尽快恢复正常运营。目前尚不清楚订户和员工的个人信息是否在事件中被盗或泄露。”
参考来源:TheRecord http://33h.co/k9kru
(十)Shutterfly网站遭受Conti勒索软件攻击导致服务中断
美国摄影和个性化照片平台Shutterfly遭受了Conti勒索软件攻击,据称攻击者对数千台设备进行了加密,并窃取了公司数据。据消息人士称,Shutterfly大约在两周前遭受了Conti勒索软件攻击,该团伙声称已加密了4,000多台设备和120台VMware ESXi服务器。据称Shutterfly正在和Conti进行谈判,勒索赎金为数百万美元。
该公司的摄影相关服务通过GrooveBook、BorrowLenses、Shutterfly.com、Snapfish和Lifetouch等各种品牌面向消费者、企业和教育客户,主网站可用于上传照片以创建相册、个性化文具、贺卡、明信片等。
在勒索软件团伙对公司网络上的设备进行加密之前,通常会潜伏数天甚至数周,窃取公司数据和文件。然后这些文件被用作筹码,勒索受害者支付赎金,威胁说窃取的数据将被公开发布或出售给其他黑客。作为这种“双重勒索”策略的一部分,Conti创建了一个私人Shutterfly数据泄漏页面,其中包含据称在勒索软件攻击期间窃取的文件屏幕截图。如果不支付赎金,攻击者威胁要公开此页面。
这些屏幕截图包括法律协议、银行和商家帐户信息、公司服务的登录凭据、电子表格以及似乎是客户信息的内容,包括信用卡的最后四位数字。Conti还声称拥有Shutterfly商店的源代码,但尚不清楚勒索软件团伙是指Shutterfly.com还是其他网站。
Shutterfly在声明中确认了其在周日深夜遭受了勒索软件攻击,并表示Shutterfly.com、Snapfish、TinyPrints及Spoonflower网站未受到攻击影响,但Lifetouch、BorrowLeneses和Groovebook的部分业务中断。Shutterfly聘请了第三方网络安全专家,通知了执法部门,并一直在夜以继日地解决这一事件。该公司在评估可能受到影响的数据全部范围。Shutterfly没有存储客户的信用卡、金融账户信息或社会安全号码,因此该事件中没有任何此类信息受到影响。
虽然Shutterfly表示没有披露财务信息,但是据称有一张屏幕截图包含信用卡的最后四位数字,因此尚不清楚在攻击过程中是否有更多更令人担忧的信息被盗。
参考来源:BleepingComputer http://33h.co/k9bkf
(十一)AvosLocker攻击美国政府机构后提供免费解密程序
此前AvosLocker勒索软件攻击了美国警察局,加密了设备并窃取了数据。研究人员pancak3发现,当AvosLocker得知其攻击的是美国政府机构后,免费提供了解密程序,但是没有提供被盗文件清单,以及他们是如何攻击警察局网络的。
AvosLocker的一名成员表示,他们没有针对攻击目标的策略,但通常会避免对政府实体和医院进行加密。但是,其附属机构有时候会在没有先前审查的情况下锁定网络。当被问及是否因为害怕执法而故意避免针对政府机构时,AvosLocker表示更多是因为“纳税人的钱通常很难拿到”。
然而在过去的一年里,国际执法行动针对勒索软件成员和洗钱者进行了多次起诉或逮捕,包括REvil、Egregor、Netwalker和Clop。事实证明,这种增加的压力产生了良好的效果,导致许多勒索软件关闭,包括DarkSide、BlackMatter、Avaddon和REvil。
不幸的是,许多勒索软件组织只是重新改变了名字开展新的活动,因为这有助于逃避执法。即使有不断增加的被逮捕的压力,AvosLocker表示他们并不担心执法,因为没有管辖权。
参考来源:BleepingComputer http://33h.co/k9dye
(如未标注,均为天地和兴工业网络安全研究院编译)
相关资讯