汽车造作商本田遭逢勒索软件攻击

作者：嘶吼RoarTalk 2020-06-18

英国广播公司（BBC）颁布的一份汇报称，，，，，，汽车造作商本田遭逢了网络攻击，，，，，，随后该公司在Twitter上证实了这一新闻。。。。。另一个同样在Twitter上披露的类似攻击事务是袭击了Edesur SA，，，，，，这是阿根廷Enel旗下的一家公司，，，，，，该公司在布宜诺斯艾利斯市从事能源分配业务。。。。。

凭据网上颁布的样本，，，，，，这些事务可能与EKANS / SNAKE勒索软件家族有关。。。。。在这篇文章中，，，，，，我们回首了有关这种勒索软件的有关信息以及到目前为止我们可能进行的分析。。。。。

勒索软件的指标

安全钻研人员Vitali Kremez初次公开提及EKANS勒索软件的功夫能够追忆到2020年1月，，，，，，那时Vitali Kremez 分享了有关使用GOLANG编写的新型勒索软件的信息。。。。。

安全公司Dragos 在此博客中做出具体介绍。。。。。

图1：EKANS赎金纪录

6月8日，，，，，，一位钻研人员分享了勒索软件的样本，，，，，，这些样本听说是针对本田和Enel的。。。。。在我们起头查看代码时，，，，，，我们有了一些发现，，，，，，证实了这种可能性。。。。。

图2：互斥查抄

图3：掌管执行DNS查问的职能

指标：本田

● 赎金电子邮件：CarrolBidell @ tutanota [。。。。。] com

指标：Enel

● 解析内部域：enelint.global

● 赎金电子邮件：CarrolBidell @ tutanota [。。。。。] com

远程桌面和谈（RDP）可能是攻击的媒介

两家公司都有一些带有远程桌面和谈（RDP）接见权限的推算机公开（请参阅此处）。。。。。RDP攻击是勒索软件操作的重要切入点之一。。。。。

不外，，，，，，这些仅仅是揣摩，，，，，，不能齐全注定这就是威胁行为者攻击的方式。。。。。只有进行适当的内部调查，，，，，，能力确切简直定攻击者是若何粉碎网络的。。。。。

检测

我们通过创建一个伪造的内部服务器来测试在尝试室中公开提供的勒索软件样本，，，，，，该服务器将响应恶意软件代码使用预期的IP地址进行的DNS查问。。。。。而后，，，，，，我们对Malwarebytes Nebula（我们面向企业的基于云的端点�；；；；；ぃ┙辛司莩朴氡咎镉泄氐难静馐浴！�。。。

图4：Malwarebytes Nebula仪表板显示检测了局

尝试执行时，，，，，，我们检测有效负载为“ Ransom.Ekans”。。。。。为了测试8827太阳集团另一个�；；；；；げ�，，，，，，我们还禁用了（不建议）恶意软件�；；；；；�，，，，，，以使行为引擎阐扬作用。。。。。8827太阳集团反勒索软件技术可能在不使用任何署名的情况下隔离恶意文件。。。。。

勒索软件团伙丝毫没有同情之心，，，，，，即便在这个应对新冠疫情的特殊时期，，，，，，他们抛持续以大型公司为指标，，，，，，从而勒索巨额资金。。。。。

目前，，，，，，远程桌面和谈（RDP）已被人们称为是攻击者最喜欢的突破点。。。。。但是，，，，，，我们最近还相识到一个允许远程执行的新的SMB缝隙。。。。。对于防御者而言，，，，，，沉要的是要正确�；；；；；に凶什�，，，，，，对其缝隙实时建补，，，，，，杜绝其公开露出。。。。。

若是我们发现新的有关信息，，，，，，我们将更新此博客文章。。。。。（持续报路请参照原文）

IOCs

本田有关样品：

Enel有关的样本：

enelint.global

参考及起源：https://blog.malwarebytes.com/threat-analysis/2020/06/honda-and-enel-impacted-by-cyber-attack-suspected-to-be-ransomware/

（转载来自：腾讯网）

急剧链接

网御星云合多数据书生电子云子可信

司法申明

8827太阳集团

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系8827太阳集团

工业互联网安全专题