联邦调查局(FBI)警告称,勒索软件团伙正以财务风险为威胁,攻击上市公司支付赎金。
在本周发布的一份警告中,联邦调查局表示,在过去一年的攻击活动中,威胁者将其作为公司即将发生的重大敏感财务事件的攻击目标,如季度收益报告和美国证券交易委员会文件、首次公开发行股票、企业并购活动等。其目的是威胁目标,如果不支付,将泄露与这些事件相关的盗窃信息,以增加勒索。
联邦调查局指出,只要发生可能影响受害者股价的事件,如公司合并收购,就会吸引勒索软件攻击者攻击。
安全人员指出,这是一个非常聪明的策略。犯罪组织现在意识到,攻击处于增长关键时期的公司很可能会大大提高攻击的破坏性。任何不为这种攻击辩护的公司都有很大的安全风险。
攻击股价
去年,一个名为 " Unknown"勒索软件攻击者(据说是REvil集团前领导人)似乎是这种方法的策划人,他在Exploit俄罗斯黑客论坛建议,目标交付赎金的好方法之一是检查他们在纳斯达克股票交易所的公司。
很快,有人听了这个建议。这篇文章发表后,一名身份不明的勒索软件攻击者在2020年3月的勒索软件攻击中与一名受害者谈判付款时说:”我们已经注意到你有股票了。如果你不和我们谈判,我们会向纳斯达克泄露你的数据,看看你的股票会发生什么变化。"。
同样在去年,已经至少有三家参与并购谈判的美国上市公司被勒索软件攻击。此外,联邦调查局说,通过对Pyxie远程访问木马(作为攻击第一阶段的植入软件,最终会传输Defray777/RansomEXX技术分析显示了几个与金融相关的关键词。
这些关键词包括 "10-Q",指所有上市公司必须提交的财务相关信息的季度报告;"10-SB",这是一张小企业证券的表格,用于在美国证券交易所注册希望交易; "N-CSR",这是一份必须在公司向股东发布年度和半年度报告后10天内提交的表格。其他关键字包括纳斯达克MarketWired和Newswire等。
据联邦调查局称,4月份,DarkSide勒索软件团伙(联邦调查局指责该团伙Colonial Pipeline发动攻击)发布了一个计划,他们利用受害者的股价作为勒索筹码,并教别人如何做这些事情。
该团伙表示,我们的团队和合作伙伴现在已经加密了许多在纳斯达克和其他股票交易所交易的公司的信息。如果公司拒绝付款,我们将在公司发布信息之前发布信息,以便在股票变化中获利。请及时给我们写信,我们将为您提供详细信息。
安全专家指出,公司在上市、合并、收购或经历其他重大财务事件时,应高度警惕,严格控制信息的发布,包括一些公共信息。
他在一封电子邮件中指出,在这些类型的攻击中,公司应非常警惕,邀请第三方渗透测试人员进行彻底的风险评估,以找到容易受到犯罪分子攻击的安全漏洞。他们应该始终确保他们向公众发布的信息能够有效地控制,加密和备份敏感的财务或其他数据到另一个安全的地方。也许双因素和多因素认证可以帮助他们保护账户的安全。
同时,安全专家也建议,公司最重要的防御行动是投资建立网络安全团队。
他说:"在当前的网络攻击环境中,公司的安全正变得非常重要。我们需要找到下一代网络专业人士让他们加入战斗,否则威胁攻击只会继续增长。"
Hello Kitty演变勒索策略
破坏股价不仅仅是新兴勒索软件的唯一特点。联邦调查局上周表示,Hello Kitty网络犯罪团伙(又名)FiveHands)分布式拒绝服务(DDoS)攻击加入 "催促公司支付赎金"战术组合。
周五,联邦调查局警告说:"Hello Kitty攻击者通常使用双勒索攻击技术对受害者施加压力,这意味着如果不支付赎金,重要文件和渗透信息将被加密并发布。它补充说,在某些情况下,如果受害者没有迅速回应或支付赎金,攻击者将发起受害者公司的网站DDoS攻击。
Hello Kitty游戏开发商今年早些时候用勒索软件攻击赛博朋克2077CD Projekt Red世界闻名。它通常根据目标网络的特点定制赎金要求,并使用被盗凭证或SonicWall访问企业内部网络的已知(已修复)漏洞。
使用DDoS越来越成为所谓 "四重勒索 "攻击的一部分。SunCrypt勒索软件集团首次提出了这个想法REvil高层的肯定。
本文翻译自:https://threatpost.com/ransomware-corporate-financial/175940/