FIN6组织的针对性勒索软件攻击事件分析(2019.5.16)

自2019年1月起，安天CERT监测发现多起目标为大型企业或组织的针对性LockerGoga勒索软件攻击事件。攻击者通过入侵暴露在外网的服务器进而突破内网服务器，在内网服务器上加载Cobalt Strike/Powershell Empire等网空攻击装备，同时在内网分发勒索软件LockerGoga。安天CERT针对LockerGoga与Ryuk勒索软件进行了多个维度上的关联分析，揭示了LockerGoga与Ryuk勒索软件之间的关联性与同源性，确定了两个勒索软件的运营者为同一组织。此外，通过相关威胁情报分析，FIN6组织针对POS系统攻击活动相关IP与LockerGoga勒索活动部分重合，攻击活动中使用的stager为同一类型，据此确定LockerGoga与Ryuk勒索活动的运营者为FIN6组织。安天CERT通过对FIN6组织针对性勒索活动的关联分析，揭示了FIN6组织针对大型企业或组织的勒索行动的攻击链路。详细报告可在www.antiy.com网站下载。

国家计算机病毒应急处理中心建议广大计算机用户加强安全防范意识，做好日常备份（最好是异地备份），不要访问包含未知风险的网站或打开不明来历的电子邮件附件，保持开启杀毒软件实时监控功能，并持续关注我中心网站上关于勒索软件的有关资讯。

以上资讯由北京安天公司提供，国家计算机病毒应急处理中心研发部编译整理