欢迎来到安联智库seczk.com--做最好网安新媒体!!
快捷搜索:  热点  资讯  事件  漏洞  技术  攻防  

继Norsk Hydro之后,两家制造业巨头再遭LockerGoga勒索攻击

 

在新型勒索软件LockerGoga攻击挪威铝制造巨头公司Norsk Hydro ,造成其关闭网络之后仅仅几天,它又被发现疑似入侵了另外两家美国化学公司Hexion和Momentive的计算机网络。

Hexion和Momentive公司主要生产树脂、有机硅和其他材料,由同一投资基金控制。两家公司于3月12日遭到勒索软件的袭击。根据Momentive一位匿名员工的说法,该攻击是在3月12日开始的。由于此次攻击,大量关键数据都从系统中丢失。公司的Windows计算机出现了蓝屏错误并且文件被加密

1.LockerGoga勒索攻击一波未平一波又起

根据网络安全研究机构Motherboard的报告,该勒索软件与之前对Norsk Hydro的攻击有许多相似之处,因此研究人员也将此次攻击归因于LockerGoga勒索软件。

Momentive公司承认遭遇勒索攻击,并为受勒索软件攻击影响的员工提高了新的工作电子邮箱帐户。由于攻击造成的网络中断,Momentive公司不得不紧急更换数百台计算机。

Momentive公司的笔记本电脑上显示的赎金通知

另一方面,Hexion公司没有披露任何有关袭击的细节,但表示正在努力解决此次安全事件。

算上之前的攻击,这是LockerGoga针对制造业企业的第三波攻击,之前的两起事件的受害者分别是欧洲公司Altran和Norsk Hydro。法国Altran工程咨询公司1月底遭受攻击。上周早些时候,挪威铝业巨头Hydro透露,它遭到了勒索软件攻击。

2.LockerGoga感染系统后会发生什么?

安装后,LockerGoga会通过更改密码来修改受感染系统中的用户帐户。它还会尝试注销登录到系统的用户。然后将自身重新定位到临时文件夹,并使用命令行(cmd)重命名。使用的命令行参数不包含要加密的文件路径。

LockerGoga能够加密存储在台式机、笔记本电脑和服务器等系统上的文件。每当LockerGoga加密文件时,都会修改注册表项(HKEY_CURRENT_USERSOFTWAREMicrosoftRestartManagerSession00{01-20})。加密之后,LockerGoga在桌面文件夹中的文本文件(README_LOCKED.txt)中留下赎金通知。


加密目标文件扩展名

3.LockerGoga感染数量有限

与知名的勒索软件WannaCry和Petya不同,LockerGoga不会在短时间内广泛传播,只是通过Wi-Fi或以太网适配器来禁用系统。这在Hexion-Momentive攻击中很明显,只有固定数量的系统被感染。

LockerGoga代码显示如何禁用受感染系统的网络适配器

但卡巴斯基实验室的一位发言人业表示,除了上述提到的四家企业外,全世界各地还有更多的受害者。



暂无

您可能还会对下面的文章感兴趣: