NCSC对攻击全球组织的Ryuk勒索软件发出紧急警报

据外媒报道，英国国家网络安全中心（NCSC）发布了关于Ryuk勒索软件攻击的警报，该勒索软件与Emotet和TrickBot恶意软件共同发动攻击。

研究人员发现，Ryuk勒索病毒与Emotet和TrickBot一同出现在不同的组织网络中。

Ryuk勒索软件最初于2018年8月被发现，它感染并危害不同组织，获益数百万美元。Emotet是著名的恶意软件，被其他木马病毒用作初期感染的dropper，受害者遍布世界各地。Trickbot是一种银行恶意软件，它窃取应用程序的登录凭证。自从被发现以来，黑客不断地向Trickbot中添加新功能。

勒索软件在其攻击链中使用了TrickBot和Emotet恶意软件，目标是大型组织，以获取高额赎金。据称，勒索软件由专业的黑客组织GRIMSPIDER操作。

Ryuk勒索软件使用Emotet进行初始阶段的感染，并检查受害者的机器是否容易感染。Trickbot随后部署了额外的开发后工具来支持操作，其中有Mimikatz和PowerShell Empire模块。

Post利用模块收集凭据、远程监视工作站，从而感染同一网络中的其他系统。感染Emotet的机器定期检查来自命令和控制服务器(C2)的模块，这些模块通常是DLL或EXE，加载在受感染的系统上以扩展功能。

所有非执行文件在感染过程结束时加密，并显示勒索软件提示，要求用比特币支付赎金。Ryuk病毒是一种持续性感染病毒。恶意软件的安装程序会停止某些杀毒软件，并根据系统安装相应版本的Ryuk。

根据NCSC的说法，Ryuk勒索软件本身没有在网络中横向移动的能力，因此依赖于初次感染访问，它可枚举共享网络并加密它可以访问的共享网络。此外，勒索软件使用的反取证技术，使备份恢复变得更为困难。