勒索软件周 – 2023 年 2 月 10 日 – Clop 回来了

从持续不断的针对 ESXi 服务器的攻击到对 Conti/TrickBot 成员的制裁，这一周在勒索软件方面非常忙碌。

全球 ESXiArgs 勒索软件攻击在周末和本周继续困扰着 VMware ESXi 服务器。 为了帮助管理员恢复他们的服务器，CISA 发布了一个脚本，可以从加密服务器上的平面文件恢复虚拟机。

但是，一天后，发布了新版本的 ESXiArgs 勒索软件，它加密了更多数据，阻止了以前已知的恢复方法。

借助 ESXi 这一勒索软件团伙的诱人目标，Royal Ransomware 组织的 Linux 加密器还开发了自己的 Linux 加密来加密虚拟机。

我们还收到了来自美国政府的消息，美国政府制裁了 7 名 TrickBot/Conti 网络犯罪组织成员，并发布了一份报告，详细说明朝鲜勒索软件攻击如何被用来资助 DRPK 的行动。

在其数据泄露站点上出现了很长一段时间的少数受害者和活动之后，Clop 勒索软件团伙 (TA505) 卷土重来，声称利用 GoAnywhere MFT 中的零日漏洞发起了攻击。

勒索软件团伙表示他们利用该漏洞窃取了 130 家公司的数据，但我们无法独立验证这一点。

我们还获悉了有关各种（可能的）勒索软件攻击的一些消息，包括 LockBit 最终宣布对皇家邮政发起的攻击、对加拿大 Indigo 书店的攻击以及 A10 Networks 确认他们在 Play 勒索软件攻击后遭受数据泄露。

但是，Huntress Labs 的一份报告也表明 Clop 可能参与了这些攻击。

贡献者和本周提供新勒索软件信息和故事的人包括@LawrenceAbrams、@malwrhunterteam、@billtoulas、@demonslay335、@struppigel、@PolarToffee、@fwosar、@BleepinComputer、@Ionut_Ilascu、@serghei、@Seifreed、@ jfslowik、@CISAgov、@LabsSentinel、@BushidoToken、@ASEC_Analysis、@pcrisk、@ValeryMarchive 和@BrettCallow。

2023 年 2 月 5 日

Royal Ransomware 的 Linux 版本以 VMware ESXi 服务器为目标

Royal Ransomware 是最新的勒索软件操作，将对加密 Linux 设备的支持添加到其最新的恶意软件变体中，特别针对 VMware ESXi 虚拟机。

2023 年 2 月 6 日

VMware 警告管理员修补 ESXi 服务器，禁用 OpenSLP 服务

VMware 今天警告客户安装最新的安全更新并禁用针对暴露在互联网和易受攻击的 ESXi 服务器的大规模勒索软件攻击活动的 OpenSLP 服务。

在 AD 环境中具有自我传播功能的 DarkSide 勒索软件

为了逃避分析和沙箱检测，DarkSide 勒索软件仅在加载程序和数据文件都存在时才会运行。 名为“msupdate64.exe”的加载程序读取包含编码勒索软件的同一路径中的“config.ini”数据文件，并在正常进程的内存区域运行勒索软件。 勒索软件的结构仅在特定参数匹配时才运行。 然后它将自己注册到任务调度程序并定期运行。

2023 年 2 月 7 日

LockBit 勒索软件团伙声称对皇家邮政发起网络攻击

LockBit 勒索软件行动声称对英国领先的邮件递送服务 Royal Mail 进行了网络攻击，导致该公司因“严重服务中断”而停止其国际运输服务。

Clop 勒索软件漏洞允许 Linux 受害者恢复文件数月

Clop 勒索软件团伙现在也在使用一种明确针对 Linux 服务器的恶意软件变体，但加密方案中的一个缺陷使受害者能够在几个月内悄悄地免费恢复他们的文件。

俄罗斯男子承认洗钱 Ryuk 勒索软件

周二，俄罗斯公民 Denis Mihaqlovic Dubnikov 承认为臭名昭著的 Ryuk 勒索软件组织洗钱超过三年。

CISA 为 ESXiArgs 勒索软件受害者发布恢复脚本

美国网络安全和基础设施安全局 (CISA) 发布了一个脚本，用于恢复被最近广泛传播的 ESXiArgs 勒索软件攻击加密的 VMware ESXi 服务器。

新的 Chaos 勒索软件变种

PCrisk 发现了一个新的 Chaos 勒索软件变体，它附加了看似随机的扩展名 (.1iyT6bav7VyWM5) 并丢弃了一个名为 adrianov.txt 的赎金票据。

2023 年 2 月 8 日

新的 ESXiArgs 勒索软件版本阻止 VMware ESXi 恢复

新的 ESXiArgs 勒索软件攻击现在正在加密更大量的数据，这使得恢复加密的 VMware ESXi 虚拟机即使不是不可能也变得更加困难。

调查来自有趣漏洞利用的入侵

通过调查相关事件并进行根本原因分析 (RCA)，Huntress 能够将此入侵与最近公布的漏洞以及与 著名的勒索软件组织。

2023 年 2 月 9 日

加拿大最大的书店 Indigo 在网络攻击后关闭网站

加拿大最大的连锁书店 Indigo Books & Music 昨天遭到网络攻击，导致该公司网站无法对客户开放，并且只接受现金付款。

美国 和英国制裁 TrickBot 和 Conti 勒索软件运营成员

美国和英国制裁了 7 名俄罗斯人，因为他们参与了 TrickBot 网络犯罪组织，该组织的恶意软件被用来支持 Conti 和 Ryuk 勒索软件行动的攻击。

新的 STOP 勒索软件变种

PCrisk 发现了一个新的 STOP 勒索软件变体，它附加了 .vvmm 扩展名。

2023 年 2 月 10 日

A10 Networks 确认在 Play 勒索软件攻击后发生数据泄露

总部位于加利福尼亚的网络硬件制造商“A10 Networks”已向 OZABC 证实，Play 勒索软件团伙短暂获得了对其 IT 基础设施的访问权限并泄露了数据。

Clop 勒索软件声称是 GoAnywhere 零日攻击的幕后黑手

Clop 勒索软件团伙声称是近期攻击的幕后黑手，这些攻击利用了 GoAnywhere MFT 安全文件传输工具中的零日漏洞，称他们从 130 多个组织窃取了数据。

朝鲜对医疗基金政府运营的勒索软件攻击

美国网络安全和基础设施安全局 (CISA) 发布的新网络安全咨询描述了最近观察到的针对公共卫生和其他关键基础设施部门的朝鲜勒索软件操作所观察到的战术、技术和程序 (TTP)。

新的 STOP 勒索软件变种

PCrisk 发现了一个新的 STOP 勒索软件变体，它附加了 .vvoo 扩展名。

本周就到这里！ 希望大家周末愉快！