勒索软件瞄准微软SharePoint服务器漏洞发动攻击

十轮网

发布时间: 05-0114:54山东寰信网络科技有限公司

勒索软件持续开采常见企业软件的漏洞以威胁企业。安全厂商近日发现名为Hello/WickrMe的勒索软件不断变种,而持续开采SharePoint一个旧漏洞蔓延。

安全厂商Pondurance于一月发现Hello勒索软件开采SharePoint漏洞的行动后,趋势科技近日发现这只勒索软件迄今仍然持续在网络上活动,除了勒索消息档用了.hello的新文件扩展名,也添加WickrMe的用户账号。这是因为黑客要求受害者使用Wickr通信软件与之联系赎付金事宜,因此新版本Hello又被称为WickrMe。

Hello/WickrMe开采的是微软协同平台SharePoint的CVE-2019-0604。事实上2019年该漏洞就遭不知名黑客开采。这项漏洞去年被美国网络安全暨基础架构安全局列为2016年到2019年间,最常遭到黑客开采的十大安全漏洞之一。微软已在当时就修补了这项漏洞。

趋势科技侦测到这次黑客利用Cobalt Strike渗透工具,攻击未修补CVE-2019-0604安全漏洞的SharePoint服务器,而且如同两年前一样,黑客植入名为China Chopper的webshell程序,后者属于一种后门程序,最后植入的恶意程序为Hello/WickrMe。

图片来源/趋势科技

目前,勒索软件是直接黑入SharePoint服务器植入,还是经由initial access broker黑客服务访问SharePoint不得而知。因为Cobalt Strike beacon可在网上免费取得,故无法追溯出Hello/WickrMe黑客。

一旦Hello/WickrMe进入SharePoint服务器,即会以RSA算法加密文件,产生.hello文件扩展名的勒索消息。但同时它还能删除备份、关闭终止行程以干扰防范机制。它能加密Office、.pdf、.7z等10多种格式文件,以及MySQL、Microsoft SQL、Oracle、PostgreSQL、Veeam等数据库。

一如所有勒索软件,趋势科技也呼吁用户更新及构建多层次安全防护、不要随意点击不明连接、并做好不同格式的备份。

举报/反馈