瑞星解读:不要钱,只为要挟政府的讹诈软件——RoadSweep
2022年7月,阿尔巴尼亚遭遇了一场严峻的收集进攻事务,其政府部分被迫封闭所有供给在线公共办事的网站和政府官方网站。阿尔巴尼亚总理埃迪·拉马就此事表达,政府思疑此次进攻是由某个国度组织的,而非通俗黑客或有组织的立功集团倡议。同年9月,进攻者又针对阿尔巴尼亚TIMS、ADAM和MEMEX系统倡议了第二波收集进攻。在那两次出于政治动机的收集进攻中,名为“RoadSweep”的讹诈软件被曝出。
近日,瑞星平安研究院针对RoadSweep讹诈软件的两次进攻样本停止了详尽的阐发,发现该讹诈软件别离假装成XML阅读东西和PDF转换东西,通过有效数字签名绕过检测,进而对受害者电脑数据停止加密,到达骚乱政治的目标。目前,瑞星ESM防病毒末端平安防护系统已可查杀相关样本,广阔用户可安拆该产物停止提防。
图:有效的数字签名
瑞星平安专家介绍,在那两起进攻事务中,进攻者将RoadSweep讹诈软件别离假装成XML阅读东西和PDF转换东西,均操纵了英伟达(Nvidia)和科威特电信公司(Kuwait Telecommunications Company)的有效数字证书(目前该证书已失效)来签订讹诈软件,因而具有必然的迷惘性,同时绕过了平安软件的检测。
固然那两起进攻中讹诈信文本内容差别,但都利用阿尔巴利亚语与英语提及不异的政治动静:
进攻者在第一次进攻中利用的讹诈信内容:
"Pse duhet të shpenzohen taksat tona në dobi të terroristëve të DURRESIT?"
"Why should our taxes be spent on the benefit of DURRES terrorists?"
(为什么我们的税收应该用于DURRES恐惧分子的利益?)
进攻者在第二次进攻中利用的讹诈信内容:
Shqipëria ende po paguan për aktet terroriste të kultit MEK në Durrës;Dhe kjo lojë do të vazhdojë ...
展开全文
Albania is still paying for the terrorist acts of the MEK cult in Durres;And this game WILL continue ...
(阿尔巴尼亚仍在为杜勒斯MEK邪教组织的恐惧行为买单;那场角逐将陆续。。。)
同时,在第一封讹诈信中,进攻者供给了四组德律风号码以成立沟通,此中的第一个德律风号码竟然是阿尔巴尼亚总统Ilir Meta曾经利用的号码:0682031701,0682099450,0697047470,0682030272。
图:第一次进攻中的讹诈信
图:第二次进攻中的讹诈信
瑞星平安专家表达,近年来有越来越多的讹诈组织以国度政务、关键根底设备为次要进攻目标,进侵政府本能机能部分或内部系统,侵扰社会及公众的日常消费、生活,给国度和社会带来极大的平安风险,因而国内相关部分应进步警惕,加强防护,制止类似的事务发作。详细提防办法如下:
摆设收集平安态势感知、预警系统等网关平安产物。网关平安产物可操纵威胁谍报逃溯威胁行为轨迹,搀扶帮助用户停止威胁行为阐发、定位威胁源和目标,逃溯进攻的手段和途径,从泉源处理收集威胁,更大范畴内发现被进攻的节点,搀扶帮助企业更快响应和处置。
安拆有效的杀毒软件,拦截查杀歹意文档和木马病毒。杀毒软件可拦截歹意文档和木马病毒,假设用户不小心下载了歹意文件,杀毒软件可拦截查杀,阻遏病毒运行,庇护用户的末端平安。
图:瑞星ESM防病毒末端平安防护系统可查杀相关样本