安全专家避免的大规模勒索软件攻击

一家未具名的公司即将成为最新的负面新闻并遭受重大勒索软件攻击，但安全研究人员在关键时刻设法避免了这场危机。

ZDNet 报道了该事件，该事件涉及一家大型企业，在发现公司计算机上安装了大量 Cobalt Strike 实例后，将 Sophos 的安全专家引入了船上。乍一看，这似乎没什么可疑之处，因为 Cobalt Strike 最初是一个合法的渗透测试工具。然而，在过去的一年中，Cobalt Strike 在网络犯罪圈中的使用量也激增。

在该公司最初让 Sophos 参与调查 CobaltStrike 在网络上的出现后，安全研究人员发现整个网络都在整顿并准备好应对全面的勒索软件攻击。

犯罪分子计划使用 REvil 勒索软件并尽可能造成破坏，对数据进行集体加密。对于 Sophos 的客户来说幸运的是，安全研究人员设法发现了为勒索软件有效负载准备网络的持续努力，并设法避免了攻击的全面冲击。

只有少数未受保护的系统和设备被加密，但这并没有对公司产生任何重大影响。企图攻击背后的犯罪分子在他们加密的少数设备上留下了赎金票据，赎金要求高达 250 万美元。当然，鉴于这次大规模的攻击被挫败了，这些钱都没有。

然而，ZDNet 和 Sophos 调查所指出的是，攻击背后的不法分子设法在一百多台公司机器上偷偷安装了合法的 ScreenConnect 远程访问软件，而没有任何人注意到并敲响警报。

ZDnet 援引 Sophos 快速响应团队经理 Peter Mackenzie 的话说，威胁参与者在网络上获得初步立足点的最常见方式通常涉及网络钓鱼用户或利用 VPN 漏洞或未启用多因素身份验证的系统在他们的 VPN 上。

在这次幸运转折中几乎袭击了这家未具名公司的勒索软件 REvil 也被成功用于对抗美国最大的新鲜牛肉和猪肉生产商 JBS，而在 JBS 的例子中，该公司就没那么幸运了。这次攻击背后的勒索软件团伙设法从 JBS 中榨取了 1100 万美元。

Mackenzie 还提供了一些安全方面的建议，包括整个安全行业一直在尝试向公司和企业传授的内容。最重要的建议包括在所有网络设备上通过集中式集线器安装和管理最新的安全软件，并使用最新补丁更新每个系统正在运行的所有软件。