精誠中國杭州新址啓用,共同見證新征程
2023-11-08
News and information
01
事件簡述
自2022年08月28日起,國內(nèi)某安全廠商高(gāo)級威脅研究分析中心監測到一起0day漏洞大(dà)規模勒索利用事件,事件等級:嚴重,事件評分:10.0。
8月28日開(kāi)始,國內(nèi)某安全廠商高(gāo)級威脅研究分析中心接到大(dà)量反饋,用戶計(jì)算(suàn)機文件被.locked後綴的勒索病毒加密,截止當前,該廠商反勒索服務已經确認來(lái)自該勒索病毒的攻擊案例已超2000餘例,且該數(shù)量仍在不斷上(shàng)漲。
對此,建議廣大(dà)用戶做(zuò)好資産自查以及預防工作(zuò),以免遭受黑(hēi)客攻擊。
02
風險等級
檢測到本次勒索病毒的安全廠商對該事件的評定結果如下:
目前基本可(kě)以确認,黑(hēi)客是利用了某CRM系統漏洞,通(tōng)過命令執行(xíng)發起的攻擊。
從病毒留下的勒索提示信息內(nèi)容分析,該病毒與之前流行(xíng)的TellYouThePass勒索病毒為(wèi)關聯家(jiā)族,甚至不排除就是TellYouThePass的新變種。該病毒會(huì)向受害者索要0.2BTC的贖金,這一價格比之前TellYouThePass家(jiā)族的已知贖金提升了0.05BTC。
此外,通(tōng)過與攻擊者的溝通(tōng)郵件可(kě)以肯定對方也是中文使用者,溝通(tōng)全程使用中文進行(xíng)對話(huà),且語句非常自然并非“機翻”。
03
攻擊來(lái)源
此次事件中,攻擊者是針對暴露在互聯網上(shàng)的某CRM系統發起攻擊,利用漏洞執行(xíng)命令并加密文件。進程樹(shù)如下所示:
對于此次勒索病毒傳播所依賴的漏洞,推測為(wèi)本月初發現的一個(gè)0day漏洞。
2022年8月5日,國內(nèi)某安全廠商的漏洞雲便收到漏洞情報:某流行(xíng)企業财務軟件存在0day漏洞。通(tōng)過對其官方已發布的補丁和(hé)漏洞細節進行(xíng)反複對比,确認此漏洞尚無補丁,為(wèi)0day漏洞。
相關漏洞為(wèi)WEB類漏洞,漏洞觸發效果為(wèi)RCE,漏洞觸發過程為(wèi)反序列化遠程代碼執行(xíng)。
此次攻擊從 8 月 28 日 21 時(shí) 30 分左右開(kāi)始大(dà)規模爆發,一直持續到 8 月 29 日 1 時(shí)左右,截至當前發布病毒報告的廠商觀察到有(yǒu)1986台機器(qì)遭到攻擊,統計(jì)地域分布如下。
而針對電(diàn)子元器(qì)件企業的攻擊也在加劇(jù):
病毒肆虐,精誠與客戶共克時(shí)艱!
