GandCrab 勒索软件升级,增加了 NSA 的 SMB 漏洞,以便更快地传播

互联网时代是这样的时代:一种能力,要么无人能掌握,要么任何人都能掌握。没有第三种选项。这就是为什么情报机构开发的也许为了“抓坏人”的间谍工具、漏洞和后门,最终都会被任何人利用来做任何事。也是为什么国家安全局在这个时代的存在纯粹起了反作用 —— 他们糟糕的策略已经导致了一系列灾难,并且没有终止的迹象

NSA 漏洞利用工具已经在高端恶意软件中使用。现在,GandCrab 勒索软件 v4 增加了 NSA 的 SMB 漏洞,以便更快地传播。

在版本4中,GandCrab 勒索软件经历了重大改变,增加了对 NSA 漏洞的利用,以帮助蔓延和针对更大的系统集

更新的 GandCrab 勒索软件本月早些时候首次被发现,但研究人员才刚了解到这些变化的程度。

GandCrab 勒索软件的代码结构被完全重写。而且,根据英国安全架构师 Kevin Beaumont 的说法,该恶意软件现在使用国家安全局(NSA)的黑客工具  EternalBlue 来针对 SMB 漏洞并更快速地传播。

“它不再需要 C2 服务器(例如它可以在气隙环境中运行),现在它通过 SMB 漏洞进行传播 – 包括 XP 和 Windows Server 2003(以及其他现代操作系统)”,Beaumont 在博客中写道。

“据我所知,这是第一个传播到 XP 和 2003 的勒索软件真正的蠕虫 – 你可能还记得很多关于 WannaCry 和 XP 的新闻报道和猜测,但现实是对NSA 的 SMB漏洞利用(EternalBlue.exe)还从来没有开箱即用的 XP ​​目标。“

位于加利福尼亚州桑尼维尔的 Fortinet 高级威胁研究员 Joie Salvio 发现 GandCrab 勒索软件正在通过垃圾邮件和恶意 WordPress 网站传播到目标,他还注意到代码的另一个重大变化。

“然而,最大的变化是从使用 RSA-2048 切换到速度更快的 Salsa20 流密码来加密数据,过去 Petya 勒索软件也使用过这种密码,”Salvio 在分析中写道。 “此外,它已经取消了连接到其 C2 服务器,然后才能加密其受害者的文件的这种方法,这意味着它现在能够加密未连接到互联网的用户!

但是值得注意的是,GandCrab 勒索软件似乎专门针对俄语地区的用户。 Fortinet 发现恶意软件会在继续感染之前检查系统是否使用俄语键盘布局

尽管 GandCrab 勒索软件被进行了大修,并且扩展系统成为目标,但 Beaumont 和 Salvio 都表示,基本的网络卫生应足以保护用户免受攻击。这包括安装 Microsoft 发布的 EternalBlue 补丁,使防病毒软件能保持最新状态并完全禁用 SMB 版本1,这是自最初的 WannaCry 攻击开始以来各种网点(包括 US-CERT)不断重复的建议。

无独有偶,今天同时出现了另一则消息。

今年5月一名黑客利用 Shodan 搜索引擎仔细阅读易受攻击的系统,发现了一个早前已被公开的 FTP 漏洞,由此访问了位于克里奇空军基地的 Netgear 路由器,并且获得了美国空军机长计算机的内容。

包括维护手册、分配被基地Reaper维护小组的飞行员名单。现在这些军事文件正在网上销售

MQ-9 Reaper 是一款能够自动、远程操控的无人机,它被认为是美国迄今为止研发的最先进的、最致命的无人机之一。

五角大楼、国土安全局、CIA以及NASA目前都在使用这款无人机。目前在网上出售的文件包括数十本训练手册、生存手册以及坦克拍战术。

这些文件如何落在有目的的人手里,很容易据此推测到美军和情报机构的弱点。美国国防部和情报机构对后门和网络间谍工具的痴迷正在为自己构建灾难。

延伸阅读:为什么说如今国家安全局的存在纯属错误

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据