扫描红队工具显示可能与 MedusaLocker 勒索软件相关的活动 媒体
MedusaLocker 网络暴露新发现
关键要点
Censys 通过扫描常用的红队工具,发现了被 MedusaLocker 犯罪网络控制的多个服务器。该公司在俄罗斯的扫描中发现了多种渗透测试工具,包括 Metasploit 和其他攻击相关工具。Censys 正在与 FBI 合作,帮助潜在受害者减轻风险,并表示将能发现更多相关的网络攻击活动。Censys 于周四宣布,他们通过一个独特的方法映射出数个被 MedusaLocker 犯罪网络控制的服务器,这些服务器要么是代理,要么是勒索软件的受害者。该方法是通过扫描互联网上常见的红队工具来实现的。
鲤鱼加速器在 6 月底,该公司发布了一份报告,调查了在 740 万台服务器上暴露的前 1000 种软件产品的普及情况。扫描中发现了九台使用了渗透测试工具 Metasploit 的服务器,这种工具通常用于发起攻击。其中,有一台服务器承载了多种在攻击中使用的渗透测试工具,包括 Acunetix、Posh 和 Deimos。鉴于只有一台服务器具有这一组合,Censys 认为这很可能不是由渗透测试公司实施的。而根据俄罗斯服务器的证书和 Jarm 指纹,以及来自互联网扫描的当前和历史数据,Censys 能够映射出与全球 MedusaLocker 行动的指示器之间的一致重叠。
Censys 的研究员 Matt Lembright 表示:“很多扫描被视为事件发生后的措手不及,然而我们的方式正好相反,可以利用这些信息采取预防措施。”
Censys 的研究员认为,他们发现的数据、证书和指纹,以及其他攻击指示器,包括将被攻击电脑转为代理的工具和传输加密货币的路径,都是重要的信息。
虽然互联网扫描可以提供某台电脑存在的证据,但无法联系其所有者。Censys 正在与 FBI 合作,努力对潜在受害者进行去匿名化处理,以便让他们有效减轻风险。该公司在限于美国的维吉尼亚州、俄亥俄州、新泽西州和加利福尼亚州发现了受害者,并在台湾、中国和荷兰等地也发现了全球性受害者。
Lembright 表示:“我相信我们将能通过这种方式发现更多的网络攻击活动。为了这些主机可以执行他们所做的事情,它们必须在互联网上可用,随时准备与其主机进行回拨或通信。”
