【安全资讯】Elpaco勒索软件:新威胁利用CVE-2020-1472进行全球攻击

安恒恒脑 2024-11-28 19:05:13 159人浏览

概要:

Kaspersky Labs近日揭示了一种名为Elpaco的新型勒索软件变种,作为Mimic勒索软件家族的进化版本,Elpaco展现出多种定制化特性,全球范围内针对受害者展开攻击。该恶意软件利用已知漏洞并借助合法软件工具,悄然执行其操作,成为网络安全领域的新威胁。

主要内容:

Elpaco勒索软件通过被攻陷的远程桌面协议(RDP)连接入侵系统,通常通过暴力破解实现。一旦进入,攻击者利用臭名昭著的CVE-2020-1472漏洞(即Zerologon)提升权限,从而完全控制受害者的服务器,为勒索软件的部署铺平道路。Elpaco的一个显著特点是其与Everything库的集成,这是一种合法的文件搜索引擎,旨在简化恶意活动。

该勒索软件的功能包括:可定制的图形用户界面(GUI),允许操作员配置勒索软件的行为,如修改赎金说明、选择加密文件和目录,以及排除特定格式。Elpaco使用ChaCha20流密码进行文件加密,并通过RSA-4096进一步保护密钥,使得没有私钥几乎无法解密。为了隐蔽和规避检测,Elpaco在加密后自我删除,利用fsutil命令安全擦除痕迹,确保在取证分析中尽量减少被发现的可能性。

Elpaco的传播方式为密码保护的压缩档案,包含多个组件,如用于禁用Windows Defender的Defender Control Tool(DC.exe)和伪装成合法进程的主可执行文件svhostss.exe。该勒索软件已与包括美国、俄罗斯、德国和韩国在内的多个国家的攻击相关联,其影响范围扩展至加拿大、罗马尼亚和英国。Kaspersky的研究人员强调了Elpaco的适应性及其潜在威胁,指出其用户界面为操作员提供了高度的灵活性,使其在网络攻击者中极具吸引力。
勒索软件 数据泄露 金融 科技公司
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。