近日,美国联邦调查局(FBI)发布了关于一个名为OnePercent Group(1%)的勒索软件团伙的警告,该团伙自2020年11月以来一直在攻击美国公司。该团伙的电子邮件针对组织内部的个人使用社会工程技巧欺骗粗心的员工打开包含在附件ZIP文件中的恶意Word文档。
但该钓鱼邮件并不会立刻加密受害者电脑中的数据,而是在受害者的计算机上安装一个名为IcedID的模块化银行木马——IcedID(有时也称为 BokBot),可以在用户尝试访问其在线银行账户时窃取金融机构的登录凭据,同时它还可以下载和投放其他恶意软件。有人认为IcedID是故意以这种方式扩展的,以使其对网络犯罪分子来说更有利可图。
IcedID可以下载的附加软件之一是Cobalt Strike,这是一种深受恶意黑客喜爱的渗透测试工具。Cobalt Strike在目标组织中横向移动,为远程黑客泄露敏感数据并将其加密在企业受害者的系统上提供了机会。根据FBI的说法,在部署勒索软件之前大约一个月,已经在受害者的网络中观察到了犯罪分子的活动。
除了确保将防病毒产品配置为检测已知OnePercent Group在攻击和数据泄露期间使用的工具外,FBI提供了以下一些预防和缓解措施建议:
- 离线备份关键数据;
- 确保管理员没有使用“管理员批准”模式;
- 如果可能,实施 Microsoft LAPS;
- 确保关键数据的副本位于云端或外部硬盘驱动器或存储设备上。不应从受感染的网络访问此信息;
- 保护您的备份并确保无法从原始数据所在的系统访问数据以进行修改或删除;
- 保持计算机、设备和应用程序打补丁并保持最新状态;
- 考虑为从组织外部收到的电子邮件添加电子邮件横幅;
- 禁用未使用的远程访问/远程桌面协议 (RDP) 端口并监控远程访问/RDP 日志;
- 审核具有管理权限的用户帐户,并以最低权限配置访问控制;
- 实施网络分段;
- 使用具有强密码短语的多因素身份验证。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
