• Welcome to the world's largest Chinese hacker forum

    Welcome to the world's largest Chinese hacker forum, our forum registration is open! You can now register for technical communication with us, this is a free and open to the world of the BBS, we founded the purpose for the study of network security, please don't release business of black/grey, or on the BBS posts, to seek help hacker if violations, we will permanently frozen your IP and account, thank you for your cooperation. Hacker attack and defense cracking or network Security

    business please click here: Creation Security  From CNHACKTEAM

预警:量子勒索软件出现 攻势迅猛


Recommended Posts

量子勒索软件不到4小时就加密了受害者的设备。

近日,《DFIR报告》安全研究人员分析了一次量子勒索病毒攻击活动,从最初感染到完成加密受害者设备仅用了3小时44分钟。攻击时间表如下:

os5my3d3v5h31.png

图表攻击时间线

使用IcedID

根据研究人员的分析,攻击是由带有ISO文件附件的钓鱼邮件开始的。

kakkuxxwfgc32.png

图ISO文件

量子勒索软件攻击使用IcedID恶意软件作为初始攻击载体。IcedID是一种模块化的银行木马,在过去5年中被广泛应用于有效载荷部署、加载器和勒索软件的第二阶段。攻击者将部署Cobalt Strike进行远程访问。初次感染两小时后,攻击者将钴击注入c : \ windows \ sys wow 64 \ cmd.exe进程,以绕过检测。

The  first  steps  of  the  infection  chain

使用IcedID的图形

然后,攻击者将负责LSASS内存来窃取Windows域凭据信息,以便在网络中进一步传播。在接下来的一个小时内,攻击者与环境中的其他服务器建立RDP连接。

rj153apseuy34.png

然后通过C$共享文件夹将勒索软件(ttsel.exe)复制到其他主机上,从而部署勒索软件。

c : \ windows \ system32 \ cmd.exe/kcopytsel.exe \ \ c $ \ windows \ temp \最后,攻击者利用WMI和PsExec部署quantum勒索软件payload——Quantum Locker实现数据窃取和设备加密。

wmic/node : ' '/user : ' \ Administrator '/password : ' ' processcallcreate ' cmd . exe/cc : \ windows \ temp \ ttsel . exe ' psexec . exe \ \-u \ Administrator-p ' '-s-d-h-rmstdc-accept EULA-no banner c : \ windows \ temp \ ttsel.exe整个攻击过程只用了不到4个小时。而且这种攻击通常发生在晚上或者周末,所以网络和安全管理员没有大的窗口来检测和响应攻击。

量子勒索软件对环境中所有主机的文件进行加密,然后发布如下勒索信README _ TO _ DECRYPT.html。勒索短信称,数据在攻击过程中被窃取,如果受害者不支付赎金,数据将被公开。

ckm5ywsfpjn35.png

勒索信

赎金因受害者而异。一些受害者要求15万美元的赎金来获得解密器,而一些受害者收到数百万美元的赎金要求:

Quantum  Locker  demanding  a  $3.8 million  ransom

勒索赎金

主页上有一个创建和设置通信聊天密码的选项:

g3zlya0vkbg37.png

图勒索聊天会话

身份验证后,将显示与攻击者的聊天窗口:

fbol3uryegy38.png

图勒索聊天窗口

总结

量子勒索软件自2021年8月出现以来,已经发动了多次攻击。量子勒索病毒可以发起快速的勒索病毒攻击,几个小时就可以完成整个攻击,让防御者没有足够的时间反应和应对。这是一种新型的网络威胁。

完整的技术报告见:https://thedfirreport.com/2022/04/25/quantum-ransomware/。

Link to comment

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now