近期,一种名为麒麟勒索软件的新型攻击引发广泛担忧。此攻击手段极为狡猾,对用户构成严重威胁。
一、攻击方式
麒麟勒索软件攻击于 2024 年 7 月现身。其主要通过缺乏多因素身份验证(MFA)的 VPN 门户的泄露凭据渗透目标网络。
威胁行为者利用这些 VPN 凭证,在首次访问目标网络后的 18 天展开后续行动。
一旦攻击者侵入有问题的域控制器,他们便会编辑默认域策略,引入包含两个脚本的基于登录的组策略对象(GPO)。
其中一个是名为“IPScanner.ps1”的 PowerShell 脚本,该脚本可借助 IP 数据收集存储在 Chrome 浏览器中的凭证数据;
另一个是批处理脚本(“logon.bat”),用于调用命令来执行第一个脚本。
攻击者让这个 GPO 在网络上活跃三天多,使得用户在登录设备时,在毫无察觉的情况下触发系统上的凭证窃取脚本。
每个用户每次登录都面临着 VPN 相关风险以及 IP 数据被恶意利用的危险,随时可能遭受凭证窃取。
二、攻击损失
- 凭证被盗:Chrome 浏览器中存储的凭证被盗意味着受影响的用户需要在每个第三方网站上更改用户名 – 密码组合。这一过程不仅繁琐,还带来极大的安全隐患,尤其是在如今高度依赖网络和 VPN 连接的环境下,IP 数据的安全性也受到严重威胁。
- 文件加密:攻击者在窃取凭证后,会采取措施抹去活动证据,然后加密文件并将勒索信放到系统的每个目录中。这将导致用户的数据无法正常使用,严重影响工作和生活,无论是通过 VPN 访问的资源还是基于特定 IP 地址的服务都将陷入困境。
三、防范措施
- 加强 VPN 门户安全:务必确保 VPN 门户启用多因素身份验证(MFA),防止 VPN 凭证泄露,减少因 VPN 漏洞被攻击者利用 IP 数据进行恶意活动的风险。
- 关注域控制器安全:加强对域控制器的安全防护,及时发现和阻止异常的策略编辑行为,尤其是涉及到可能利用 IP 数据进行恶意操作的行为。
- 警惕脚本执行:对系统中的脚本执行进行严格管控,防止恶意脚本借助 IP 渠道运行,避免类似“IPScanner.ps1”这样的脚本窃取 Chrome 中的凭证。
- 定期更改密码:用户应定期更改密码,避免使用过于简单的密码,提高账户安全性,降低因 VPN 或 IP 相关攻击导致密码泄露的风险。
- 安装安全软件:安装可靠的网络安全软件,及时检测和防范勒索软件攻击,确保在 VPN 使用和 IP 数据传输过程中的安全。
勒索软件攻击形势严峻,2024 年有望成为勒索软件收入最高的一年。犯罪分子不断改变策略,扩大技术范围,利用合法远程桌面工具伪装恶意活动,逃避检测。我们必须高度重视网络安全,采取有效措施防范勒索软件攻击,保护个人和企业的数据安全,尤其是在涉及 VPN 和 IP 数据的复杂网络环境中。
