美国联邦调查局(FBI)警告说,勒索软件团伙正在以财务风险为威胁,针对上市公司进行攻击,威胁其支付赎金。
在本周发布的一份警报中,联邦调查局表示,在过去一年的攻击活动中显示出一种新的趋势,威胁者在公司即将发生重大的、敏感的财务事件时会将其作为攻击目标,例如季度收益报告和美国证券交易委员会文件公布、股票首次公开发行、企业并购活动等。其目的是威胁目标如果不付钱的话,就会泄露与这些事件有关的被盗信息,从而加大勒索力度。
联邦调查局指出,只要发生可能会影响受害者股价的事件,如公司的合并和收购,就会吸引勒索软件攻击者对其进行攻击。
安全人员指出,这是一个非常精明的策略。犯罪组织现在已经意识到,通过针对那些处于增长关键时期的公司进行攻击,很可能会大大的提高攻击的破坏性。任何不为这种攻击做防御的公司都有很大的安全风险。
针对股票价格进行攻击
去年,一个名为 " Unknown"的勒索软件攻击者(据说是REvil集团的前领导人)似乎是这种方法的策划者,他在Exploit俄罗斯黑客论坛上建议,促使目标交付赎金的一个很好的方法是查看他们在纳斯达克股票交易所的公司。
很快,一些人就听信了这个建议。在这个帖子之后,某不明身份的勒索软件攻击者在2020年3月的勒索软件攻击事件中与一名受害者在谈判付款时说:”我们已经注意到了你有股票。如果你不与我们谈判,我们将把你的数据泄露给纳斯达克,我们将看看你的股票会有什么变化"。
同样在去年,已经至少有三家参与并购谈判的美国上市公司被勒索软件攻击。此外,联邦调查局说,通过对Pyxie远程访问木马(作为攻击第一阶段的植入软件,最终会传递Defray777/RansomEXX勒索软件)的技术分析显示了几个与金融相关的关键词的搜索。
这些关键词包括 "10-Q",指的是所有上市公司必须提交的公布财务相关信息的季度报告;"10-SB",这是一份用于登记希望在美国交易所交易的小型企业证券的表格;以及 "N-CSR",这是一份必须在公司向股东发布年度和半年度报告后10天内需要提交的表格。其他关键词还包括纳斯达克、MarketWired和Newswire等。
据联邦调查局称,4月,DarkSide勒索软件团伙(联邦调查局指责该团伙对Colonial Pipeline发动了攻击)发布了一个计划,他们利用受害者的股价作为敲诈的筹码,而且还去教别人如何去做这些事情。
该团伙说,现在我们的团队和合作伙伴已经加密了许多在纳斯达克和其他股票交易所交易的公司的信息。如果公司拒绝付款,我们准备在公司公布信息前发布信息,这样就有可能在股票的变化中赚取利润。请及时写信给我们,我们将为您提供详细的信息。
安全专家指出,现在公司在上市、执行合并或收购或经历其他重大财务事件时应保持高度警惕,严格控制信息的发布,当然也包括一些公开信息。
他在一封电子邮件中指出,在这些类型的攻击事件中,公司应该十分保持警惕,及时邀请第三方渗透测试人员进行彻底的风险评估,找到容易受到犯罪分子攻击的安全漏洞。他们应该始终确保他们面向公众发布的信息能够有效控制,将敏感的财务或其他数据加密并备份到另一个安全地点。也许双因素和多因素认证可以帮助他们保护账户的安全。
同时,安全专家也建议,公司能够做的最重要的防御行动就是投资建立网络安全团队。
他说:"在当前的网络攻击环境中,公司的安全性正在变得非常的重要。我们需要找到下一代的网络专业人员让他们加入战斗,否则这种威胁攻击只会继续增长。"
Hello Kitty勒索策略的演变
专门针对股价进行破坏并不只是新兴勒索软件的唯一特点。上周,联邦调查局表示,Hello Kitty网络犯罪团伙(又名FiveHands)已经将分布式拒绝服务(DDoS)攻击加入其 "催促公司交赎金的"战术组合中。
联邦调查局在周五的一份警报中警告说:"Hello Kitty攻击者通常会使用双重勒索攻击技术对受害者施加压力,这里指的是如果不支付赎金,就会加密重要文件和渗出信息并将其公布。它补充说,在某些情况下,如果受害者不迅速回应或不支付赎金,攻击者将对受害者公司的网站发起DDoS攻击。
Hello Kitty因今年早些时候用勒索软件袭击赛博朋克2077的游戏开发商CD Projekt Red而闻名世界。它通常会根据目标网络的特点来定制其赎金要求,并使用被窃取的凭证或SonicWall产品中的已知(已修补)漏洞来访问企业内部网络。
使用DDoS越来越成为所谓 "四重勒索 "攻击中的一部分。去年,SunCrypt勒索软件集团由于首次提出了这个想法而引起了REvil高层的肯定。
本文翻译自:https://threatpost.com/ransomware-corporate-financial/175940/