思科Talos安全研究人员称,Necurs垃圾邮件僵尸网络通过发送伪装成虚假发票的信息传播 Locky勒索软件 。去年,Locky跻身为勒索软件前列,幕后主推手为Necurs僵尸网络,两者活动密切相关。
2017年 Necurs僵尸网络像火山一样开始活跃
2017年3月, Necurs僵尸网络整合垃圾邮件、勒索软件、DDoS攻击三种功能, 随后在4月Necurs开始传播Locky勒索软件。大约在5月12日,Necurs开始传播一种新的 勒索软件Jaff ,而 WannaCry勒索软件 在同一天首次亮相。
事实证明,Jaff与Locky勒索软件密切相关,因为它们是由同一威胁源起方操作。然而,本月早些时候, 卡巴斯基实验室安全研究人员发现Jaff勒索软件中的漏洞,并成功创建了解密工具 ,允许受害者免费恢复数据。尽管到目前为止已有三个Jaff勒索软件变种,解密工具对这些变种均生效。
显然,解密工具的发布已将Jaff勒索软件排除在外,Necurs又再次开始推送Locky勒索软件。垃圾邮件拖过发送内部嵌套.exe文件的双压缩文件来推送勒索软件。之前Necurs攻击活动中都使用订单确认、支付收据、业务文档等主题,这次的信息主题是虚假发票。
根据Talos报道,新攻击活动中有大量垃圾邮件:在最初一个小时内,垃圾邮件数量占公司系统邮件量的7%。安全研究人员表示,垃圾邮件数量在减少,但依然保持活跃。
目前传播的Locky样本只能在Winxp中加密
攻击中使用和以前相同的分支ID,但勒索软件本身有一系列变化。其中一项变化为,勒索软件不能对运行较新于Windows XP操作系统的系统上的数据进行加密。
命令与控制(C&C)URL结构是本次攻击活动的另一显著特点。安全研究人员表示,
“在最新Locky攻击活动中,攻击者重新利用/checkupdate路径作为URL结构的组成部分,这与之前Locky攻击活动中发现的URL结构完全相同。或许,这说明攻击者在开发和开展攻击活动的过程中很匆忙。”
Talso表示,Locky操作者很可能会意识到勒索软件中存在的问题,也许很快就会有更新变种出现,修复已有漏洞。然而,目前通过Necurs传播的Locky样本只能在Windows XP系统中加密。Talos表示
“点击链接或打开陌生邮件中的附件往往是危险的。不听劝告的用户很容易成为勒索软件受害者。并且,如果支付了后续赎金,这些赎金无疑会成为下一轮攻击的有力支持。通常,组织应对数据进行备份、尝试恢复,并离线保存,远离潜在犯罪分子的魔掌。”
