[[434716]]

美國聯(lián)邦調查局(FBI)警告說，勒索軟件團伙正在以財務風險為威脅，針對上市公司進行攻擊，威脅其支付贖金。

在本周發(fā)布的一份警報中，聯(lián)邦調查局表示，在過去一年的攻擊活動中顯示出一種新的趨勢，威脅者在公司即將發(fā)生重大的、敏感的財務事件時會將其作為攻擊目標，例如季度收益報告和美國證券交易委員會文件公布、股票首次公開發(fā)行、企業(yè)并購活動等。其目的是威脅目標如果不付錢的話，就會泄露與這些事件有關的被盜信息，從而加大勒索力度。

聯(lián)邦調查局指出，只要發(fā)生可能會影響受害者股價的事件，如公司的合并和收購，就會吸引勒索軟件攻擊者對其進行攻擊。

安全人員指出，這是一個非常精明的策略。犯罪組織現(xiàn)在已經(jīng)意識到，通過針對那些處于增長關鍵時期的公司進行攻擊，很可能會大大的提高攻擊的破壞性。任何不為這種攻擊做防御的公司都有很大的安全風險。

針對股票價格進行攻擊

去年，一個名為 " Unknown"的勒索軟件攻擊者(據(jù)說是REvil集團的前領導人)似乎是這種方法的策劃者，他在Exploit俄羅斯黑客論壇上建議，促使目標交付贖金的一個很好的方法是查看他們在納斯達克股票交易所的公司。

很快，一些人就聽信了這個建議。在這個帖子之后，某不明身份的勒索軟件攻擊者在2020年3月的勒索軟件攻擊事件中與一名受害者在談判付款時說：”我們已經(jīng)注意到了你有股票。如果你不與我們談判，我們將把你的數(shù)據(jù)泄露給納斯達克，我們將看看你的股票會有什么變化"。

同樣在去年，已經(jīng)至少有三家參與并購談判的美國上市公司被勒索軟件攻擊。此外，聯(lián)邦調查局說，通過對Pyxie遠程訪問木馬(作為攻擊第一階段的植入軟件，最終會傳遞Defray777/RansomEXX勒索軟件)的技術分析顯示了幾個與金融相關的關鍵詞的搜索。

這些關鍵詞包括 "10-Q"，指的是所有上市公司必須提交的公布財務相關信息的季度報告;"10-SB"，這是一份用于登記希望在美國交易所交易的小型企業(yè)證券的表格;以及 "N-CSR"，這是一份必須在公司向股東發(fā)布年度和半年度報告后10天內需要提交的表格。其他關鍵詞還包括納斯達克、MarketWired和Newswire等。

據(jù)聯(lián)邦調查局稱，4月，DarkSide勒索軟件團伙(聯(lián)邦調查局指責該團伙對Colonial Pipeline發(fā)動了攻擊)發(fā)布了一個計劃，他們利用受害者的股價作為敲詐的籌碼，而且還去教別人如何去做這些事情。

該團伙說，現(xiàn)在我們的團隊和合作伙伴已經(jīng)加密了許多在納斯達克和其他股票交易所交易的公司的信息。如果公司拒絕付款，我們準備在公司公布信息前發(fā)布信息，這樣就有可能在股票的變化中賺取利潤。請及時寫信給我們，我們將為您提供詳細的信息。

安全專家指出，現(xiàn)在公司在上市、執(zhí)行合并或收購或經(jīng)歷其他重大財務事件時應保持高度警惕，嚴格控制信息的發(fā)布，當然也包括一些公開信息。

他在一封電子郵件中指出，在這些類型的攻擊事件中，公司應該十分保持警惕，及時邀請第三方滲透測試人員進行徹底的風險評估，找到容易受到犯罪分子攻擊的安全漏洞。他們應該始終確保他們面向公眾發(fā)布的信息能夠有效控制，將敏感的財務或其他數(shù)據(jù)加密并備份到另一個安全地點。也許雙因素和多因素認證可以幫助他們保護賬戶的安全。

同時，安全專家也建議，公司能夠做的最重要的防御行動就是投資建立網(wǎng)絡安全團隊。

他說："在當前的網(wǎng)絡攻擊環(huán)境中，公司的安全性正在變得非常的重要。我們需要找到下一代的網(wǎng)絡專業(yè)人員讓他們加入戰(zhàn)斗，否則這種威脅攻擊只會繼續(xù)增長。"

Hello Kitty勒索策略的演變

專門針對股價進行破壞并不只是新興勒索軟件的唯一特點。上周，聯(lián)邦調查局表示，Hello Kitty網(wǎng)絡犯罪團伙(又名FiveHands)已經(jīng)將分布式拒絕服務(DDoS)攻擊加入其 "催促公司交贖金的"戰(zhàn)術組合中。

聯(lián)邦調查局在周五的一份警報中警告說："Hello Kitty攻擊者通常會使用雙重勒索攻擊技術對受害者施加壓力，這里指的是如果不支付贖金，就會加密重要文件和滲出信息并將其公布。它補充說，在某些情況下，如果受害者不迅速回應或不支付贖金，攻擊者將對受害者公司的網(wǎng)站發(fā)起DDoS攻擊。

Hello Kitty因今年早些時候用勒索軟件襲擊賽博朋克2077的游戲開發(fā)商CD Projekt Red而聞名世界。它通常會根據(jù)目標網(wǎng)絡的特點來定制其贖金要求，并使用被竊取的憑證或SonicWall產(chǎn)品中的已知(已修補)漏洞來訪問企業(yè)內部網(wǎng)絡。

使用DDoS越來越成為所謂 "四重勒索 "攻擊中的一部分。去年，SunCrypt勒索軟件集團由于首次提出了這個想法而引起了REvil高層的肯定。

本文翻譯自：https://threatpost.com/ransomware-corporate-financial/175940/