近日，美國(guó)聯(lián)邦調(diào)查局(FBI)發(fā)布了關(guān)于一個(gè)名為OnePercent Group(1%)的勒索軟件團(tuán)伙的警告，該團(tuán)伙自2020年11月以來(lái)一直在攻擊美國(guó)公司。該團(tuán)伙的電子郵件針對(duì)組織內(nèi)部的個(gè)人使用社會(huì)工程技巧欺騙粗心的員工打開(kāi)包含在附件ZIP文件中的惡意Word文檔。

[[420015]]

但該釣魚(yú)郵件并不會(huì)立刻加密受害者電腦中的數(shù)據(jù)，而是在受害者的計(jì)算機(jī)上安裝一個(gè)名為IcedID的模塊化銀行木馬——IcedID(有時(shí)也稱為 BokBot)，可以在用戶嘗試訪問(wèn)其在線銀行賬戶時(shí)竊取金融機(jī)構(gòu)的登錄憑據(jù)，同時(shí)它還可以下載和投放其他惡意軟件。有人認(rèn)為IcedID是故意以這種方式擴(kuò)展的，以使其對(duì)網(wǎng)絡(luò)犯罪分子來(lái)說(shuō)更有利可圖。

IcedID可以下載的附加軟件之一是Cobalt Strike，這是一種深受惡意黑客喜愛(ài)的滲透測(cè)試工具。Cobalt Strike在目標(biāo)組織中橫向移動(dòng)，為遠(yuǎn)程黑客泄露敏感數(shù)據(jù)并將其加密在企業(yè)受害者的系統(tǒng)上提供了機(jī)會(huì)。根據(jù)FBI的說(shuō)法，在部署勒索軟件之前大約一個(gè)月，已經(jīng)在受害者的網(wǎng)絡(luò)中觀察到了犯罪分子的活動(dòng)。

除了確保將防病毒產(chǎn)品配置為檢測(cè)已知OnePercent Group在攻擊和數(shù)據(jù)泄露期間使用的工具外，F(xiàn)BI提供了以下一些預(yù)防和緩解措施建議：

• 離線備份關(guān)鍵數(shù)據(jù);
• 確保管理員沒(méi)有使用“管理員批準(zhǔn)”模式;
• 如果可能，實(shí)施 Microsoft LAPS;
• 確保關(guān)鍵數(shù)據(jù)的副本位于云端或外部硬盤(pán)驅(qū)動(dòng)器或存儲(chǔ)設(shè)備上。不應(yīng)從受感染的網(wǎng)絡(luò)訪問(wèn)此信息;
• 保護(hù)您的備份并確保無(wú)法從原始數(shù)據(jù)所在的系統(tǒng)訪問(wèn)數(shù)據(jù)以進(jìn)行修改或刪除;
• 保持計(jì)算機(jī)、設(shè)備和應(yīng)用程序打補(bǔ)丁并保持最新?tīng)顟B(tài);
• 考慮為從組織外部收到的電子郵件添加電子郵件橫幅;
• 禁用未使用的遠(yuǎn)程訪問(wèn)/遠(yuǎn)程桌面協(xié)議 (RDP) 端口并監(jiān)控遠(yuǎn)程訪問(wèn)/RDP 日志;
• 審核具有管理權(quán)限的用戶帳戶，并以最低權(quán)限配置訪問(wèn)控制;
• 實(shí)施網(wǎng)絡(luò)分段;
• 使用具有強(qiáng)密碼短語(yǔ)的多因素身份驗(yàn)證。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文