汽車制造商本田遭受勒索軟件攻擊
作者:嘶吼RoarTalk
2020-06-18
英國廣播公司(BBC)發布的一份報告稱�,汽車制造商本田遭受了網絡攻擊��,隨后該公司在Twitter上證實了這一消息����。另一個同樣在Twitter上披露的類似攻擊事件是襲擊了Edesur SA�����,這是阿根廷Enel旗下的一家公司�����,該公司在布宜諾斯艾利斯市從事能源分配業務�����。
根據網上公布的樣本����,這些事件可能與EKANS / SNAKE勒索軟件家族有關���。在這篇文章中�,我們回顧了有關這種勒索軟件的相關信息以及到目前為止我們能夠進行的分析�����。
勒索軟件的目標
安全研究人員Vitali Kremez首次公開提及EKANS勒索軟件的時間可以追溯到2020年1月�����,那時Vitali Kremez 分享了有關使用GOLANG編寫的新型勒索軟件的信息���。
安全公司Dragos 在此博客中做出詳細介紹�。
圖1:EKANS贖金記錄
6月8日���,一位研究人員分享了勒索軟件的樣本�����,這些樣本據說是針對本田和Enel的����。在我們開始查看代碼時�����,我們有了一些發現��,證實了這種可能性�。
圖2:互斥檢查
圖3:負責執行DNS查詢的功能
目標:本田
● 贖金電子郵件:CarrolBidell @ tutanota [���。] com
目標:Enel
● 解析內部域:enelint.global
● 贖金電子郵件:CarrolBidell @ tutanota [����。] com
遠程桌面協議(RDP)可能是攻擊的媒介
兩家公司都有一些帶有遠程桌面協議(RDP)訪問權限的計算機公開(請參閱此處)���。RDP攻擊是勒索軟件操作的主要切入點之一�����。
不過���,這些僅僅是推測�,不能完全肯定這就是威脅行為者攻擊的方式��。只有進行適當的內部調查�����,才能確切的確定攻擊者是如何破壞網絡的����。
檢測
我們通過創建一個偽造的內部服務器來測試在實驗室中公開提供的勒索軟件樣本����,該服務器將響應惡意軟件代碼使用預期的IP地址進行的DNS查詢�。然后���,我們對Malwarebytes Nebula(我們面向企業的基于云的端點保護)進行了據稱與本田相關的樣本測試��。
圖4:Malwarebytes Nebula儀表板顯示檢測結果
嘗試執行時�����,我們檢測有效負載為“ Ransom.Ekans”��。為了測試我們的另一個保護層����,我們還禁用了(不建議)惡意軟件保護���,以使行為引擎發揮作用���。我們的反勒索軟件技術能夠在不使用任何簽名的情況下隔離惡意文件��。
勒索軟件團伙絲毫沒有憐憫之心�,即使在這個應對新冠疫情的特殊時期���,他們扔繼續以大型公司為目標�,從而勒索巨額資金��。
目前�����,遠程桌面協議(RDP)已被人們稱為是攻擊者最喜歡的突破點���。但是�����,我們最近還了解到一個允許遠程執行的新的SMB漏洞�。對于防御者而言����,重要的是要正確保護所有資產�����,對其漏洞及時修補��,杜絕其公開暴露����。
如果我們發現新的相關信息����,我們將更新此博客文章��。(持續報道請參照原文)
IOCs
本田相關樣品:
Enel相關的樣本:
enelint.global
參考及來源:https://blog.malwarebytes.com/threat-analysis/2020/06/honda-and-enel-impacted-by-cyber-attack-suspected-to-be-ransomware/
(轉載來自:騰訊網)
快速鏈接
京公網安備11010802024551號