近日,FBI发布警告称,一个名为OnePercentGroup(1%)的勒索软件团伙自2020年11月以来一直在攻击美国公司。该团伙的电子邮件以组织内的个人为目标,使用社会工程技术诱使粗心的员工打开包含在附件ZIP文件中的恶意Word文档。但是,钓鱼邮件不会立即加密受害者计算机上的数据。相反,它会在受害者的计算机上安装一个名为IcedID的模块化银行木马-IcedID(有时也称为BokBot),当用户尝试访问时可以使用它,它可以在使用其网上银行账户时从金融机构窃取登录凭证,并且可以还下载并删除其他恶意软件。一些人认为,IcedID是故意以这种方式扩展的,以使其对网络犯罪分子更有利可图。IcedID可以下载的插件之一是CobaltStrike,这是一种受到恶意黑客青睐的渗透测试工具。CobaltStrike在目标组织内横向移动,为远程黑客提供了窃取敏感数据并在企业受害者系统上加密的机会。据FBI称,在部署勒索软件前大约一个月,在受害者的网络上观察到了犯罪分子的活动。除了确保防病毒产品配置为检测OnePercentGroup在攻击和数据泄露期间已知使用的工具外,FBI还提供以下预防和缓解措施建议:离线备份关键数据;确保管理员没有使用“管理员批准”模式;如果可能,实施MicrosoftLAPS;确保关键数据的副本在云端或外部硬盘驱动器或存储设备上。不应从受感染的网络访问此信息;保护您的备份并确保无法从原始数据所在的系统访问数据以进行修改或删除;为计算机、设备和应用程序打补丁并保持最新状态;考虑在收到的电子邮件中添加电子邮件横幅;禁用未使用的远程访问/远程桌面协议(RDP)端口并监视远程访问/RDP日志;审核具有管理权限的用户帐户并配置具有最小权限的访问控制;执行网段;使用具有强密码的多重身份验证。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
