FBI发布“1%”勒索软件警告

2021-08-30

钓鱼手法是勒索病毒的扩散过程中的一个重要的传播方式，该种方法往往令人防不胜防，屡屡中招，人毕竟不是机器，对于自己熟悉的事物的辨别能力非常弱。而今日，美国联邦调查局(FBI)发布了关于一个名为OnePercent Group(1%)的勒索软件团伙的警告，该团伙自2020年11月以来一直在攻击美国公司。

该团伙使用的勒索病毒入侵手法，正是使用电子邮件针对组织内部的个人使用社会工程技来分散员工的注意力，降低企业员工的警惕性，从而诱使其打开包含在附件ZIP文件中的恶意Word文档，从而达成自己的目的。

code-1839406_640

苏州众里提醒：一般来说，钓鱼邮件并不会立刻加密受害者的数据，该勒索软件团伙的手法也是如此，会第一时间在受害者的计算机上安装一个名为IcedID的模块化银行木马——IcedID(有时也称为 BokBot)，可以在用户尝试访问其在线银行账户时窃取金融机构的登录凭据，同时它还可以下载和投放其他恶意软件。

IcedID可以下载的附加软件之一是Cobalt Strike，这是一种深受恶意黑客喜爱的渗透测试工具。Cobalt Strike在目标组织中横向移动，为远程黑客泄露敏感数据并将其加密在企业受害者的系统上提供了机会。根据FBI的说法，在部署勒索软件之前大约一个月，已经在受害者的网络中观察到了犯罪分子的活动。

对于以上情况，苏州众里作为一家深耕行业十余年的信息安全公司，给广大高科技企业的厂家们提供如下一些预防勒索病毒的措施和建议方法，虽说不能百分百组织勒索病毒的攻击，但也能进行一些有效的预防工作。

1、离线备份关键数据

关键数据信息定期进行备份，以便出现问题时，及时进行还原，减少损失。

2、确保管理员没有使用“管理员批准”模式

如果可能，实施 Microsoft LAPS。

3、确保关键数据的副本位于云端或外部硬盘驱动器或存储设备上

不应从受感染的网络访问此信息。

4、保持计算机、设备和应用程序打补丁并保持最新状态。

5、考虑为从组织外部收到的电子邮件添加电子邮件横幅。

6、禁用未使用的远程访问/远程桌面协议 (RDP) 端口并监控远程访问/RDP日志。

7、审核具有管理权限的用户帐户，并以最低权限配置访问控制。

8、实施网络分段。