勒索软体骇客组织更换名称卷土重来的情况,迄今已有数起,最近有个名为Red CryptoApp的骇客团体,宣称已攻击超过10个企业组织。察觉该组织行动的资安业者Netenrich推测,很有可能是2020年收手的Maze成员组成。
值得留意的是,Red CryptoApp的做法较为激进,因为他们直接公布受害组织的资料,企图借此形成压力让受害组织乖乖付钱。
【攻击与威胁】
有别于其他的勒索软体骇客组织,Red CryptoApp这样直接公布资料的做法很不寻常,因为,过往骇客多半是勒索不成的情况下,才会公布窃得的内部档案。
而对于这些骇客的来历,研究人员发现,部分勒索讯息的内容,与2020年11月收手的Maze雷同,因此他们推测很有可能是该组织成员另起炉灶。
但值得留意的是,TA578在今年2月改变攻击手法,他们假借多家公司的名义,宣称目标组织侵犯著作权,在网站上填写表单,其中的文字含有URL,一旦目标组织的人士点选,就会被带往特定的回报网页,并从网页应用程式开发平台Firebase下载JavaScript档案,一旦该档案执行,就会从WebDAV共享资料夹启动MSI安装档,从而在电脑执行Latrodectus。
经过他们的比对,这款恶意程式的基础设施与IcedID重叠,并具备部分IcedID的特质,研究人员推测,Latrodectus很有可能是开发IcedID的团体打造。
他向卡内基美隆大学电脑网路危机处理暨协调中心(CERT/CC)通报此事,CERT/CC将上述漏洞登记了9个CVE编号,并指出amphp、Apache HTTP伺服器、Tomcat、Traffic Server、Envoy代理伺服器、Go语言等多个专案曝险。
近日Google在测试版Chrome导入名为Device Bound Session Credentials(DBSC)的功能,借由在连线阶段(Session)与装置绑定金钥,目的是保护使用者不受cookie挟持攻击。攻击者即便窃得使用者的cookie,也无法冒充使用者存取他们的帐号。
该公司指出,由于cookie与作业系统的互动方式,一旦恶意软体取得与浏览器相同的权限,就有机会自由存取浏览器存放的cookie,对此,他们透过DBSC将连线阶段与装置绑定,使得外流的cookie无法直接发挥作用。