美國(guó)聯(lián)邦調(diào)查局(FBI)警告說(shuō),勒索軟件團(tuán)伙正在以財(cái)務(wù)風(fēng)險(xiǎn)為威脅,針對(duì)上市公司進(jìn)行攻擊,威脅其支付贖金。
在本周發(fā)布的一份警報(bào)中,聯(lián)邦調(diào)查局表示,在過(guò)去一年的攻擊活動(dòng)中顯示出一種新的趨勢(shì),威脅者在公司即將發(fā)生重大的、敏感的財(cái)務(wù)事件時(shí)會(huì)將其作為攻擊目標(biāo),例如季度收益報(bào)告和美國(guó)證券交易委員會(huì)文件公布、股票首次公開(kāi)發(fā)行、企業(yè)并購(gòu)活動(dòng)等。其目的是威脅目標(biāo)如果不付錢(qián)的話(huà),就會(huì)泄露與這些事件有關(guān)的被盜信息,從而加大勒索力度。
聯(lián)邦調(diào)查局指出,只要發(fā)生可能會(huì)影響受害者股價(jià)的事件,如公司的合并和收購(gòu),就會(huì)吸引勒索軟件攻擊者對(duì)其進(jìn)行攻擊。
安全人員指出,這是一個(gè)非常精明的策略。犯罪組織現(xiàn)在已經(jīng)意識(shí)到,通過(guò)針對(duì)那些處于增長(zhǎng)關(guān)鍵時(shí)期的公司進(jìn)行攻擊,很可能會(huì)大大的提高攻擊的破壞性。任何不為這種攻擊做防御的公司都有很大的安全風(fēng)險(xiǎn)。
針對(duì)股票價(jià)格進(jìn)行攻擊
去年,一個(gè)名為 “ Unknown”的勒索軟件攻擊者(據(jù)說(shuō)是REvil集團(tuán)的前領(lǐng)導(dǎo)人)似乎是這種方法的策劃者,他在Exploit俄羅斯黑客論壇上建議,促使目標(biāo)交付贖金的一個(gè)很好的方法是查看他們?cè)诩{斯達(dá)克股票交易所的公司。
很快,一些人就聽(tīng)信了這個(gè)建議。在這個(gè)帖子之后,某不明身份的勒索軟件攻擊者在2020年3月的勒索軟件攻擊事件中與一名受害者在談判付款時(shí)說(shuō):“我們已經(jīng)注意到了你有股票。如果你不與我們談判,我們將把你的數(shù)據(jù)泄露給納斯達(dá)克,我們將看看你的股票會(huì)有什么變化”。
同樣在去年,已經(jīng)至少有三家參與并購(gòu)談判的美國(guó)上市公司被勒索軟件攻擊。此外,聯(lián)邦調(diào)查局說(shuō),通過(guò)對(duì)Pyxie遠(yuǎn)程訪(fǎng)問(wèn)木馬(作為攻擊第一階段的植入軟件,最終會(huì)傳遞Defray777/RansomEXX勒索軟件)的技術(shù)分析顯示了幾個(gè)與金融相關(guān)的關(guān)鍵詞的搜索。
這些關(guān)鍵詞包括 “10-Q”,指的是所有上市公司必須提交的公布財(cái)務(wù)相關(guān)信息的季度報(bào)告;“10-SB”,這是一份用于登記希望在美國(guó)交易所交易的小型企業(yè)證券的表格;以及 “N-CSR”,這是一份必須在公司向股東發(fā)布年度和半年度報(bào)告后10天內(nèi)需要提交的表格。其他關(guān)鍵詞還包括納斯達(dá)克、MarketWired和Newswire等。
據(jù)聯(lián)邦調(diào)查局稱(chēng),4月,DarkSide勒索軟件團(tuán)伙(聯(lián)邦調(diào)查局指責(zé)該團(tuán)伙對(duì)Colonial Pipeline發(fā)動(dòng)了攻擊)發(fā)布了一個(gè)計(jì)劃,他們利用受害者的股價(jià)作為敲詐的籌碼,而且還去教別人如何去做這些事情。
該團(tuán)伙說(shuō),現(xiàn)在我們的團(tuán)隊(duì)和合作伙伴已經(jīng)加密了許多在納斯達(dá)克和其他股票交易所交易的公司的信息。如果公司拒絕付款,我們準(zhǔn)備在公司公布信息前發(fā)布信息,這樣就有可能在股票的變化中賺取利潤(rùn)。請(qǐng)及時(shí)寫(xiě)信給我們,我們將為您提供詳細(xì)的信息。
安全專(zhuān)家指出,現(xiàn)在公司在上市、執(zhí)行合并或收購(gòu)或經(jīng)歷其他重大財(cái)務(wù)事件時(shí)應(yīng)保持高度警惕,嚴(yán)格控制信息的發(fā)布,當(dāng)然也包括一些公開(kāi)信息。
他在一封電子郵件中指出,在這些類(lèi)型的攻擊事件中,公司應(yīng)該十分保持警惕,及時(shí)邀請(qǐng)第三方滲透測(cè)試人員進(jìn)行徹底的風(fēng)險(xiǎn)評(píng)估,找到容易受到犯罪分子攻擊的安全漏洞。他們應(yīng)該始終確保他們面向公眾發(fā)布的信息能夠有效控制,將敏感的財(cái)務(wù)或其他數(shù)據(jù)加密并備份到另一個(gè)安全地點(diǎn)。也許雙因素和多因素認(rèn)證可以幫助他們保護(hù)賬戶(hù)的安全。
同時(shí),安全專(zhuān)家也建議,公司能夠做的最重要的防御行動(dòng)就是投資建立網(wǎng)絡(luò)安全團(tuán)隊(duì)。
他說(shuō):“在當(dāng)前的網(wǎng)絡(luò)攻擊環(huán)境中,公司的安全性正在變得非常的重要。我們需要找到下一代的網(wǎng)絡(luò)專(zhuān)業(yè)人員讓他們加入戰(zhàn)斗,否則這種威脅攻擊只會(huì)繼續(xù)增長(zhǎng)?!?/p>
Hello Kitty勒索策略的演變
專(zhuān)門(mén)針對(duì)股價(jià)進(jìn)行破壞并不只是新興勒索軟件的唯一特點(diǎn)。上周,聯(lián)邦調(diào)查局表示,Hello Kitty網(wǎng)絡(luò)犯罪團(tuán)伙(又名FiveHands)已經(jīng)將分布式拒絕服務(wù)(DDoS)攻擊加入其 “催促公司交贖金的”戰(zhàn)術(shù)組合中。
聯(lián)邦調(diào)查局在周五的一份警報(bào)中警告說(shuō):“Hello Kitty攻擊者通常會(huì)使用雙重勒索攻擊技術(shù)對(duì)受害者施加壓力,這里指的是如果不支付贖金,就會(huì)加密重要文件和滲出信息并將其公布。它補(bǔ)充說(shuō),在某些情況下,如果受害者不迅速回應(yīng)或不支付贖金,攻擊者將對(duì)受害者公司的網(wǎng)站發(fā)起DDoS攻擊。
Hello Kitty因今年早些時(shí)候用勒索軟件襲擊賽博朋克2077的游戲開(kāi)發(fā)商CD Projekt Red而聞名世界。它通常會(huì)根據(jù)目標(biāo)網(wǎng)絡(luò)的特點(diǎn)來(lái)定制其贖金要求,并使用被竊取的憑證或SonicWall產(chǎn)品中的已知(已修補(bǔ))漏洞來(lái)訪(fǎng)問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)。
使用DDoS越來(lái)越成為所謂 ”四重勒索 “攻擊中的一部分。去年,SunCrypt勒索軟件集團(tuán)由于首次提出了這個(gè)想法而引起了REvil高層的肯定。