新闻动态   News
联系我们   Contact
你的位置:首页 > 新闻动态 > 行业新闻

广州IT外包看NAS勒索病毒持续发酵

2017-5-16 8:41:44      点击:

二、两个变种:不排除多个团伙利用该方式进行攻击
目前安全机构已经捕获到了2个变种蠕虫样本,我们在此称之为 变种1号和变种2号。
变种1号:依然留有“秘密开关”,但是开关域名已更换
关于初代 WannaCry的 “秘密开关”,可以参看雷锋网(公众号:雷锋网)此前发布的《全球勒索病毒爆发后,他用几十块钱挽救了成千上万台电脑》报道中的详细描述。大致说的是一位英国安全研究人员在捕获到的 Wannacry 蠕虫病毒样本中,发现了一个很长的域名:据福布斯报道,电脑勒索病毒肆虐全球,谷歌和卡巴斯基安全实验室等多个机构经过研究发现,幕后黑手可能来自朝鲜,线索隐藏在代码中。谷歌安全研究员Neel Mehta发布推文,将两个恶意软件样本进行对比。其一便是正在肆虐全球的WannaCry勒索病毒,另一段样本出自神秘黑客组织“拉撒路组”(Lazarus Group)之手。
有证据显示,拉撒路组与2014年索尼黑客事件以及孟加拉国SWIFT银行网络攻击事件有关联,两起案件分别造成索尼多部未上映电影资源和商业信息遭泄露,以及孟加拉国中央银行失窃8100万美元。根据多家安全公司的分析,以撒路组来自朝鲜。
卡巴斯基实验室和网络安全公司Proofpoint的研究员对Mehta提供的对比进行仔细调查。
研究人员发现,WannaCry中的一部分代码与一个名叫Contopee的恶意软件100%一致,而后者正是拉撒组惯用的恶意软件。两个恶意软件使用相同的随机数生成0到75之间的随机数,用于对劫持数据的加密以及通过混淆避免安全工具的检测。
卡巴斯基实验室称发现同源代码是查找“WannaCry起源的最重要线索”。卡巴斯基全球研究和分析团队主管Costin Raiu对福布斯表示,Mehta展示的恶意软件几乎与此前孟加拉国银行攻击中出现过的恶意代码一模一样。不过他也表示还需要更多研究才能下结论。
阿联酋网络安全公司创始人Matthieu Suiche认同病毒可能与拉撒路组存在联系,并指出犯罪目标和手法的一致性。
安全专家周一警告称,利用最早由美国国家安全局(National Security Agency)发现的系统漏洞、使用“想哭”勒索病毒在全球感染了20多万台安装微软Windows操作系统电脑的黑客可能继续以这种模式发起攻击。这种勒索病毒能利用名为“永恒之蓝”的系统漏洞,锁定计算机中的重要文件,进而要求受害者支付比特比以解锁文件。在微软对此漏洞尚不知情的时候,美国国家安全局就已经利用该漏洞颇有时日了。
但在上个月,一个被称为“Shadow Brokers”的团体窃取了美国国安局的文件并将其在网上泄密。在3月份,微软针对这一漏洞给出了所谓的补丁,但许多并未升级补丁的计算机仍然受到“想哭”蠕虫病毒的感染。
伦敦的网络安全初创公司Digital Shadows的首席技术官James Chappell对CNBC表示:“在全球政府都在投资以寻找计算机系统弱点的时候,我们还会继续看到许多组织利用政府的这种寻找漏洞行为。”
James Chappell表示:“在这个案例当中,这些漏洞被公开,正是案例真正发生的原因。我们以前从未见过以这种方式利用被公开的系统漏洞的案例,我怀疑今后这种案例还会大量发生。”
今年3月份,维基泄密公布了美国中央情报局(CIA)黑客工具包中的8761个文件与档案,这些文件与档案可以利用苹果、三星以及微软操作系统中的漏洞发起攻击。针对科技企业软件系统漏洞信息的不断泄漏,使得这些公司忧心忡忡。
在周日发表的博客中,微软公司的首席法务官Brad Smith对政府持续不断的监控行为发出了警告。
他表示:“世界各国政府都应该把这次攻击事件当做一次警钟。他们应该改变以前的做法,在网络世界里遵守与现实世界中一样的武器应用规则。我们需要各国政府考虑到大量囤积以及滥用系统漏洞可能对平民造成的伤害。”
另一个值得担忧的问题是,随着安全漏洞的具体细节泄密,全球潜在的黑客将能更容易在网上买到黑客工具包。他们只需要很少的技术知识就能运用这些工具包,这就意味着几乎所有人都能发起黑客攻击。
英国网络安全企业Darktrace的联席创始人广州IT外包 www.pc626.com周一表示:“一大堆最复杂的网络攻击工具都在销售当中。如果你想搞黑客攻击的话,即使你并不擅长于此,整个市场也能从头到尾帮你的忙。你可以购买这些东西然后发起攻击。当黑客的入门门槛已经越来越低了。”