瑞星解讀:不要錢,只為要挾政府的勒索軟件——RoadSweep

2022年7月,阿爾巴尼亞遭遇了一場嚴重的網(wǎng)絡(luò)攻擊事件,其政府部門被迫關(guān)閉所有提供在線公共服務(wù)的網(wǎng)站和政府官方網(wǎng)站。阿爾巴尼亞總理埃迪·拉馬就此事表示,政府懷疑此次攻擊是由某個國家組織的,而非普通黑客或有組織的犯罪集團發(fā)起。同年9月,攻擊者又針對阿爾巴尼亞TIMS、ADAM和MEMEX系統(tǒng)發(fā)起了第二波網(wǎng)絡(luò)攻擊。在這兩次出于政治動機的網(wǎng)絡(luò)攻擊中,名為“RoadSweep”的勒索軟件被曝出。

近日,瑞星安全研究院針對RoadSweep勒索軟件的兩次攻擊樣本進行了詳細的分析,發(fā)現(xiàn)該勒索軟件分別偽裝成XML瀏覽工具和PDF轉(zhuǎn)換工具,通過有效數(shù)字簽名繞過檢測,進而對受害者電腦數(shù)據(jù)進行加密,達到干擾政治的目的。目前,瑞星ESM防病毒終端安全防護系統(tǒng)已可查殺相關(guān)樣本,廣大用戶可安裝該產(chǎn)品進行防范。

圖:有效的數(shù)字簽名

瑞星安全專家介紹,在這兩起攻擊事件中,攻擊者將RoadSweep勒索軟件分別偽裝成XML瀏覽工具和PDF轉(zhuǎn)換工具,均利用了英偉達(Nvidia)和科威特電信公司(Kuwait Telecommunications Company)的有效數(shù)字證書(目前該證書已失效)來簽署勒索軟件,因此具有一定的迷惑性,同時繞過了安全軟件的檢測。

雖然這兩起攻擊中勒索信文本內(nèi)容不同,但都使用阿爾巴利亞語與英語提及相同的政治消息:

攻擊者在第一次攻擊中使用的勒索信內(nèi)容:

"Pse duhet të shpenzohen taksat tona në dobi të terroristëve të DURRESIT?"

"Why should our taxes be spent on the benefit of DURRES terrorists?"

(為什么我們的稅收應(yīng)該用于DURRES恐怖分子的利益?)

攻擊者在第二次攻擊中使用的勒索信內(nèi)容:

Shqipëria ende po paguan për aktet terroriste të kultit MEK në Durrës;Dhe kjo lojë do të vazhdojë ...

Albania is still paying for the terrorist acts of the MEK cult in Durres;And this game WILL continue ...

(阿爾巴尼亞仍在為杜勒斯MEK邪教組織的恐怖行為買單;這場比賽將繼續(xù)。。。)

同時,在第一封勒索信中,攻擊者提供了四組電話號碼以建立溝通,其中的第一個電話號碼竟然是阿爾巴尼亞總統(tǒng)Ilir Meta曾經(jīng)使用的號碼:0682031701,0682099450,0697047470,0682030272。

圖:第一次攻擊中的勒索信

圖:第二次攻擊中的勒索信

瑞星安全專家表示,近年來有越來越多的勒索組織以國家政務(wù)、關(guān)鍵基礎(chǔ)設(shè)施為主要攻擊目標,入侵政府職能部門或內(nèi)部系統(tǒng),擾亂社會及民眾的日常生產(chǎn)、生活,給國家和社會帶來極大的安全風險,因此國內(nèi)相關(guān)部門應(yīng)提高警惕,加強防護,避免類似的事件發(fā)生。具體防范措施如下:

部署網(wǎng)絡(luò)安全態(tài)勢感知、預警系統(tǒng)等網(wǎng)關(guān)安全產(chǎn)品。網(wǎng)關(guān)安全產(chǎn)品可利用威脅情報追溯威脅行為軌跡,幫助用戶進行威脅行為分析、定位威脅源和目的,追溯攻擊的手段和路徑,從源頭解決網(wǎng)絡(luò)威脅,最大范圍內(nèi)發(fā)現(xiàn)被攻擊的節(jié)點,幫助企業(yè)更快響應(yīng)和處理。

安裝有效的殺毒軟件,攔截查殺惡意文檔和木馬病毒。殺毒軟件可攔截惡意文檔和木馬病毒,如果用戶不小心下載了惡意文件,殺毒軟件可攔截查殺,阻止病毒運行,保護用戶的終端安全。

圖:瑞星ESM防病毒終端安全防護系統(tǒng)可查殺相關(guān)樣本

(免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )