6 月 18 日消息，安全公司 Kela 發(fā)文，披露了一個(gè)名為“Anubis”勒索軟件黑客組織，該組織在地下黑客論壇 RAMP 和 XSS 上活躍，廣泛招募三類合作伙伴：專責(zé)進(jìn)行勒索軟件攻擊的團(tuán)隊(duì)、專門(mén)負(fù)責(zé)向受害者勒索贖金的團(tuán)隊(duì)，以及負(fù)責(zé)滲透企業(yè)網(wǎng)絡(luò)、尋找初始入侵點(diǎn)的攻擊者。這些合作團(tuán)隊(duì)之間通過(guò)分成利潤(rùn)進(jìn)行協(xié)作，形成了一個(gè)分工明確的勒索網(wǎng)絡(luò)。

安全公司表示，近期該組織在其同名勒索軟件中引入了一項(xiàng)“魚(yú)死網(wǎng)破”功能，也就是如果勒索失敗，黑客可以直接發(fā)動(dòng)相應(yīng)功能，徹底清空受害者設(shè)備上的文件，即使受害者后續(xù)選擇支付贖金，相應(yīng)文件也無(wú)法恢復(fù)。安全公司認(rèn)為，黑客旨在用這種功能設(shè)計(jì)來(lái)提升受害方的心理壓力，迫使其更有可能選擇支付贖金。

相應(yīng)研究人員指出，雖然此類直接刪除受害者文件的功能并非首次出現(xiàn)，但 Anubis 的獨(dú)特之處在于，它將數(shù)據(jù)加密與數(shù)據(jù)抹除兩種機(jī)制結(jié)合在一套攻擊流程中，從而令攻擊手段更加復(fù)雜且難以預(yù)防。

據(jù)悉，在實(shí)際攻擊過(guò)程中，相應(yīng)黑客通常通過(guò)釣魚(yú)郵件獲取目標(biāo)的初始訪問(wèn)權(quán)限，隨后執(zhí)行腳本與命令解釋器，利用系統(tǒng) Token 和進(jìn)程權(quán)限提升技巧規(guī)避安全檢測(cè)，并潛伏在系統(tǒng)中識(shí)別出關(guān)鍵進(jìn)程，繼而鎖定需要加密的文件與文件夾，并最終發(fā)起完整的勒索攻擊。

▲ 遭到黑客加密的文件

研究人員特別提到，當(dāng) Anubis 啟用其數(shù)據(jù)抹除功能時(shí)，被刪除的文件雖然名稱和后綴名保持不變，但實(shí)際上文件內(nèi)容已完全清空，文件大小變成“0KB”，形式上看似未變，實(shí)則已無(wú)法恢復(fù)。

▲ 相應(yīng)數(shù)據(jù)抹除功能

▲ 被抹除后的數(shù)據(jù)

此類攻擊模式的演化，不僅顯示出黑客組織在技術(shù)與組織結(jié)構(gòu)上的日益成熟，也意味著傳統(tǒng)的安全防護(hù)手段正面臨更大挑戰(zhàn)。