近日据外媒报道,微软安全团队发布了一份高危安全预警,警告全球各地的组织都需要开始部署保护措施,以防止这两个月来开始流行的新型勒索软件—PonyFinal。
据悉,微软在发布的一系列推文中表示, PonyFinal是一种基于Java的勒索软件,已开始被黑客们部署在人工勒索软件攻击中。据了解,人工勒索软件是勒索软件类别的一个子部分,在人为操作的勒索软件攻击中,黑客可以在破坏公司网络的同时开始自行部署勒索软件。
这与过去出现的经典勒索软件攻击方式相反,例如传统的勒索软件是通过电子垃圾邮件或工具包来分发勒索软件,这些过程的感染主要依赖于欺骗用户启动有效负载。
但是,PonyFinal的运作方式并不是这样的,它的入侵点通常是公司系统管理服务器上的一个帐户,PonyFinal的黑客们使用猜测弱密码的暴力攻击来破坏该帐户。一旦黑客进入内部系统后,他们会部署Visual Basic脚本,该脚本会运行PowerShell反向外壳程序以转储和窃取本地数据。
此外,PonyFinal勒索软件还会部署远程操纵器系统以绕过事件日志记录。一旦PonyFinal的黑客们牢牢地掌握了目标网络,他们便会传播到其他本地系统并部署实际的PonyFinal勒索软件。
对此,微软表示,在大多数情况下PonyFinal的黑客们部署Visual Basic脚本,是由于PonyFinal是用Java语言编写,因此攻击者还会将目标锁定在安装了Java Runtime Environment(JRE)的工作站上。
微软还表示,使用PonyFinal勒索软件加密的文件通常会在每个加密文件的末尾添加一个“ .enc”文件扩展名。而赎金记录通常名为README_files.txt,会包含赎金付款说明的简单文本文件。
目前,印度、伊朗和美国已经出现了该勒索软件的部分已知受害者。据悉,根据勒索软件识别门户网站ID- Ransomware 的两位专家Michael Gillespie和MalwareHunterTeam的说法,PonyFinal勒索软件是于今年初首次出现的。随后,Emsisoft恶意软件研究员Gillespie表示,对所有在ID-Ransomware网站上传的样本进行识别分析后发现,目前主要受害者位于印度、伊朗和美国。
最后,微软表示,PonyFinal勒索软件应该是在冠状病毒(COVID-19)大流行期间反复针对医疗保健部门的几种人为操作的勒索软件毒株之一。微软发布的同类别勒索软件列表还包括RobbinHood、NetWalker、迷宫、REvil(Sodinokibi)、Paradise、RagnarLocker、MedusaLocker和LockBit。