微软声称:伊朗黑客使用BitLocker加密Windows系统指定DEV-0270(又名NemesisKitten)。Microsoft的威胁情报团队发现,威胁参与者能够快速利用新披露的安全漏洞,并在攻击中广泛使用非本机二进制文件(LOLBIN)。这与微软发现DEV-0270使用BitLocker是一致的,BitLocker是一种数据保护功能,可在运行Windows10、Windows11或WindowsServer2016及更高版本的设备上提供全卷加密。“我们已经看到DEV-0270使用setup.bat命令启用BitLocker加密,导致主机出现故障。对于工作站,威胁参与者使用了DiskCryptor,这是一个用于Windows的开源全磁盘加密系统,它允许整个要加密的设备的硬盘驱动器。”从初始访问到勒索信被锁定的系统之间的勒索时间(TTR)大约为两天;微软观察到,DEV-0270在攻击成功后要求受害者支付8,000美元的赎金以换取解密密钥。图1.赚取额外金钱和利润的典型DEV-0270攻击链(来源:微软)攻击和收集与全球政府、非政府组织(NGO)和国防组织相关的知名受害者的情报。根据微软的低可信度评估,DEV-0270似乎是在“谋取私利”。微软表示,该威胁组织基于“大量重叠的攻击基础设施”,由一家伊朗公司运营,有两个别名:Secnerd(secnerd[.]ir)和Lifeweb(lifeweb[.]it)。微软补充说:“这些团体还与位于伊朗卡拉季的NajeeTechnologyHooshmand有关联。”该组织的目标通常是随机的:威胁行为者会扫描整个Internet以查找易受攻击的服务器,而拥有易受攻击且易于发现的服务器和设备的组织容易受到这些攻击。由于DEV-0270的许多攻击都利用了Exchange(ProxyLogon)或Fortinet(CVE-2018-13379)中已知的安全漏洞,因此建议公司尽快修补其面向互联网的服务器,以阻止利用尝试和随后的勒索软件攻击。SecureWorks的反威胁部门(CTU)在今年5月报告了与Secureworks跟踪和分析的代号为COBALTMIRAGE的威胁组织相关的类似恶意活动,该组织使用与PhosphorusAPT组织重叠的攻击基础设施。本文翻译自:https://www.bleepingcomputer.com/news/microsoft/microsoft-iranian-hackers-encrypt-windows-systems-using-bitlocker/如有转载请注明出处。
