登录

会员权益

获取需求

查看名片

专属客服

尊贵标识

VIP低至1.5U/天

黑客组织CosmicBeetle发动勒索软件攻击,锁定中小型企业而来

分享

支付動態

2024-09-12

研究人员追踪黑客组织CosmicBeetle的活动,发现这些黑客专门锁定中小企业散布勒索软件,不仅自行开发工具,还加入其他犯罪集团,或是冒用别的黑客名号

从事勒索软件攻击的黑客组织如雨后春笋接连出现,但有黑客组织并不打算自立门户,而是加入其他犯罪团队,甚至还会冒用别的集团名号犯案。

资安业者ESET针对黑客组织CosmicBeetle近期的攻击行动提出警告,这些黑客试图向全球的中小企业散布勒索软件ScRansom,并疑似成为勒索软件RansomHub旗下的附属组织,此外,这些黑客还会模仿LockBit,并打着该黑客组织的名号犯案。

CosmicBeetle的攻击范围相当广泛,涵盖欧洲及亚洲的制造、医药、法律、教育、卫生保健、科技、休闲旅游、金融服务业,以及地方政府。

究竟黑客如何入侵受害组织?研究人员指出,CosmicBeetle通常会使用暴力破解的方式来进行,但也会利用多个应用系统的已知漏洞,这些包括永恒之蓝CVE-2017-0144、AD权限提升漏洞CVE-2021-42278及CVE-2021-42287、Zerologon(CVE-2020-1472),以及Fortinet SSL VPN漏洞CVE-2022-42475、Veeam备份软件漏洞CVE-2023-27532。虽然这些黑客的能力并不强,但仍造成危害。

特别的是,这些黑客并非单纯使用自己的勒索软件犯案,还加入其他黑客组织,甚至佯称是恶名昭彰的犯罪集团。

研究人员如何察觉这种情形?他们在今年6月的勒索软件ScRansom攻击行动里,看到黑客试图攻击印度制造业,但在植入勒索软件并未成功之后,这些黑客先是企图使用自己的工具移除EDR系统的防护,但事隔数日,他们竟然开始运用RansomHub的工具,瘫痪EDR系统并运行文件加密。

由于RansomHub的工具并未遭到外流,因此研究人员认为,CosmicBeetle很有可能成为旗下附属组织,而能使用相关工具。

另一方面,研究人员也发现这些黑客使用外流的LockBit产生工具从事攻击的迹象,他们先是在去年9月看到黑客架设名为NoName的数据泄露网站,但该网站除了颜色的配置,整个版型几乎与LockBit一致,而网页上的受害组织,多半是遭到LockBit攻击。

到了11月,这些黑客更进一步注册新的网域名称,并在网站上直接使用LockBit的相关名称与标志。

对于这些黑客使用的作案工具,研究人员特别提及勒索软件ScRansom的结构并不严谨,从相关攻击行动里,突显黑客在勒索软件领域的能力不够成熟。他们发现,黑客的解密工具虽然能正常运作,但在解密过程通常需要多组密钥,而且还会出现部分文件面临永久性损坏的情况,换言之,受害者若是选择低头向黑客付钱,很有可能无法完全正常复原所有数据。

免责声明:
详情
HUIDU.io

GROWTH DRIVEN GLOBAL PTE. LTD. 202618650K

101 THOMSON ROAD, #28-03A, UNITED SQUARE, SINGAPORE 307591

Copyright 2026 HuiDu