HAKBIT 勒索軟件襲擊企業個人,正通過網絡釣魚電子郵件傳播
Proofpoint的研究人員公布了一項關于Hakbit勒索軟件的調查結果。如他們的博客文章所述,勒索軟件通過魚叉式網絡釣魚電子郵件進行傳播,這些電子郵件針對的是“制藥,法律,金融,商業服務,零售和醫療保健部門的中層職位”的個人。這些攻擊被稱為小批量攻擊,專門針對位于奧地利,瑞士和德國的組織的員工。
當Proofpoint分析了由Hakbit 勒索軟件加載的電子郵件時,他們發現了郵件結構的特定模式。電子郵件使用適用于目標行業的語言,試圖欺騙目標以下載名為379710.xlsm的Excel宏。所涉及的文檔以及有關該電子郵件的說明如下:
由于宏和惡意軟件無法在移動設備上運行,因此該消息會指示收件人使用計算機來閱讀附件。打開后,電子表格會以德語和英語指示收件人以啟用宏…在電子表格中啟用宏后,它將下載并執行GuLoader …當GuLoader運行時,它將下載并執行Hakbit,這是一種勒索軟件,使用AES-256加密文件。”
一旦系統成功被Hakbit感染,它會顯示一條相當幼稚的消息,指出“ YOU ARE HACKED”,并提供指向.txt文檔的鏈接。這份用德語和英語寫的文件是贖金記錄。它需要大約相當于250歐元的比特幣以及有關如何再次訪問該機器的說明。
截至本文撰寫時,Proofpoint研究人員尚未找到任何人支付贖金的證據。由于勒索軟件攻擊,尤其是魚叉式網絡釣魚活動中包含的勒索軟件攻擊已被證明是有效的,因此這可能會改變。
值得注意的是,Proofpoint通過以下觀察總結了他們的研究成果:
Proofpoint研究人員最近通過大規模的Avaddon勒索軟件活動確定了威脅格局的轉變,該活動與最近的開源供應商報告相一致。Hakbit體現了以用戶為中心的勒索軟件活動,該活動針對特定的受眾,角色,組織和用戶的母語而定制。
這種趨勢是否會持續下去尚待確定。但是,安全專業人員應注意這一轉變并做出相應計劃,這是明智的。
