今日,微软安全团队发布安全公告警告称,全球组织机构都应当部署新型勒索软件防御措施。该勒索软件被称为 PonyFinal,已现身两个多月。

微软发布多条推文指出,“PonyFinal 是一款基于 Java 的勒索软件,被部署于人为操纵 (human-operated) 的勒索软件攻击中。”人为操纵勒索软件是勒索软件的一个子类,在这种攻击活动中黑客攻陷企业网络并自己部署勒索软件。相比之下,在之前出现的典型勒索软件活动中,如通过垃圾邮件或exploit包分发的勒索软件,感染进程依赖于诱骗用户启动 payload。

PonyFinal 运作原理

微软表示,它正在追踪部署了 PonyFinal 勒索软件的事件。入侵点通常是公司的系统管理服务器上的账户,PonyFinal 使用猜测密码的暴力攻击方式攻陷该账户。

一旦进入受陷账户,微软指出,PonyFinal 团伙部署运行 PowerShell 逆向shell 的 Visual Basic 脚本来转储并窃取本地数据。另外,该勒索软件的操纵人员还部署“远程操纵系统绕过事件日志”。

PonyFinal 团伙在目标网络立足后,会传播到其它本地系统并部署真正的 PonyFinal 勒索软件。在多数情况下,攻击者攻击的是安装 Java 运行时环境 (JRE) 的工作站,原因是 PonyFinal 用 Java 语言编写而成。不过微软指出还发现犯罪团伙在运行勒索软件前在系统上安装 JRE 的实例。

微软指出,被 PonyFinal 勒索软件加密后,每个加密后的文件末尾都有 “.enc” 文件扩展。勒索金留言通常是 README_files.txt,内容一般是包含勒索金指令的简单文本文件。

该勒索软件的加密方式被认为是安全的,且目前不存在能够恢复加密文件的方法或免费解密器。

受害者遍布印度、伊朗和美国

勒索软件识别门户网站 ID-Ransomware 的两名创始人 Michael Gillespie 和 MalwareHunterTeam 指出,PonyFinal 勒索软件在今年早些时候现身,当时受害者较少,这证实之前它被用于仔细遴选的目标攻击活动中。

Emsisoft 公司的恶意软件研究员 Gillespie 表示,在 ID-Ransomware 网站上上传样本的用户按流行度划分位于印度、伊朗和美国。

微软指出,PonyFinal 在新冠肺炎疫情期间曾多次攻击医疗行业,执行类似攻击活动的勒索软件还包括 RobbinHood、NetWalker、Maze、REvil (Sodinokibi)、Paradise、RagnarLocker、MedusaLocker 和LockBit。

原文链接

https://www.zdnet.com/article/microsoft-warns-about-attacks-with-the-ponyfinal-ransomware/

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。