Black Basta勒索软件组针对美国公司使用QakBot恶意软件 媒体
QakBot恶意软件及黑巴斯特勒索病毒的攻击警报
关键要点
QakBot恶意软件正被黑巴斯特勒索团伙积极利用,主要目标是美国公司。攻击通常始于网络钓鱼邮件,之后导致恶意网址感染。攻击者在短时间内获取域管理员权限,迅速部署勒索病毒。Cybereason已发布了与此攻击相关的风险指标和防范建议。Cybereason的研究人员警告说,一个特别激进的攻击活动正在使用QakBot恶意软件入侵,通常会导致黑巴斯特勒索病毒的部署。
研究人员观察到,从11月14号开始,超过10个客户环境已经被QakBot恶意软件感染,该团伙主要针对位于美国的公司。感染的起点是通过发送网络钓鱼邮件,链接到恶意网址。
该犯罪团伙自4月(https//wwwscworldcom/brief/ransomware/blackbastaransomwaregangposessignificantthreat)以来活跃,已对美国、加拿大(https//wwwscworldcom/brief/ransomware/blackbastaransomwarehitscanadiansupermarketchain)、英国、澳大利亚和新西兰的公司展开攻击,主要采用双重勒索策略。
根据研究人员的说法,QakBot不仅用于窃取财务数据,还会安装后门,允许攻击者投放额外的恶意软件,包括勒索病毒。
在他们的帖子中,Cybereason研究人员详细描述了一个攻击场景,该场景从QakBot感染开始,导致Cobalt Strike在多个机器上加载,随后部署勒索病毒。研究人员还观察到一名受害者的网络被锁定,攻击者通过禁用DNS服务使恢复变得更加困难。
他们指出,攻击者在不到两个小时内获取了域管理员权限,并在不到12小时内开始部署勒索病毒。
极光加速器ios版
“鉴于所有这些观察结果,我们建议安全和检测团队关注此攻击活动,因为它可能迅速导致严重的IT基础设施损坏。”
Cybereason还提供了与此次攻击相关的妥协指标IoCs,包括需要封锁的IP地址列表以及对其客户的建议,详见该博客帖子(https//wwwcybereasoncom/blog/threatalertaggressiveqakbotcampaignandtheblackbastaransomwaregrouptargetinguscompanies)。
