活跃的正如大家所知道的那样12月的活动和新年的活动保持不变利用工具2019年冬季冬眠的活动。我们主要观察《辐射》和《RIG》,偶尔使用有限的GrandSoft外观进行更广泛的地理定位。
此外,类似于《星等》、《Underminer》和《GreenFlash Sundown》等小范围开发工具也保持着同样的发展方向:将勒索软件投放到大部分亚洲国家,尤其是韩国。
2019年冬季的概述
- 影响埃克
- 钻机埃克
- GrandSoft埃克
- 埃克级
- 暗中破坏者埃克
- GreenFlash日落埃克
Internet Explorer的cve - 2018 - 8174和Flash的cve - 2018 - 4878仍然是最常见的漏洞,尽管一些工具包已经集成了较新的Flashcve - 2018 - 15982.
影响埃克
放射性沉降物通过引入新的元素,不断将新鲜空气带入原本陈腐的空气中特性甚至采用更新的漏洞。对于定制有效载荷交付的一些参与者来说,它似乎也是一个很好的实验框架。《辐射》是添加的第二个开发工具包cve - 2018 - 15982这是Flash Player最近出现的一个漏洞。
钻机埃克
优秀的《RIG》仍然存在,但在我们所追踪的许多恶意广告链中,它已经让位给了较新的《辐射》Fobos.自我们上次审核以来,报告没有任何明显的变化。
GrandSoft埃克
GrandSoft和它的Ramnit有效载荷仍然通过捆绑在受损网站上的有限分销携手并进。这可能是目前市场上最不复杂的开发工具之一。
埃克级
与此同时,星等EK很活跃,并通过反广告连锁店提供服务,重点关注韩国等亚太国家。量级继续提供无文件的Magniber勒索软件有效载荷。
暗中破坏者埃克
Underminer的超顶级加密方案来隐藏其漏洞,让我们研究人员在试图识别引擎盖下到底是什么时保持诚实。值得注意的是,仅仅在Flash零日和概念证明(PoC)发布后的几天(cve - 2018 - 15982), Underminer已经实现它。
GreenFlash日落埃克
GreenFlash sunset也是一个特定地理位置的利用工具,它一直在向亚洲的目标发送各种类型的勒索软件。在我们最新的捕获中,我们看到它向韩国用户投放Seon勒索软件。
缓解
虽然及时打补丁和避免Internet Explorer作为web浏览器可以提供对上述漏洞工具包的保护,但现实是,许多用户(特别是在企业环境中)仍然落后。此外,虽然IE在北美正在逐步被淘汰,但它在亚洲国家仍然被高度采用——这解释了为什么它们目前成为目标。
必威平台APP伪“anti-exploit技术阻止这些开发套件中的每一个-辐射,RIG, GrandSoft,震级,Underminer和GreenFlash sundown,甚至在他们有机会投下他们的有效载荷之前。
随着我们进入2019年,我们可以说,虽然开发工具包的活动远不及2017年的峰值,但仍在继续,主要用于反广告分销活动。在全球活动方面,《辐射》处于领先地位,提供了最多样化的活动和有效载荷。与此同时,针对亚洲的EKs在很大程度上仍在继续其通常的模式,即推动创新(在一定程度上)并传播勒索软件。
评论