该组织选择了一种在行业中不常见的做法:针对被初步感染、资金实力雄厚的目标,选择性地植入恶意加密软件。这不同于用勒索软件感染所有可能受害者的常见策略。
两份报告都显示,该组织使用被称作“Ryuk”的勒索软件感染大企业。而在此之前几天、几周,甚至一年,这些目标大多就已经被感染了一种被称作Trickbot的木马。相比而言,小企业在感染Trickbot之后很少会再遭到Ryuk的攻击。CrowdStrike表示,这种方法是“寻找大目标”,而自去年8月以来,其运作者已经在52笔交易中收入了370万美元的比特币。
除了精准定位目标之外,这种方式还有其他好处:存在“驻留时间”,即从初始感染到安装勒索软件之间的一段时间。这让攻击者有时间对被感染网络进行分析,从而确定网络中最关键的系统,并获取感染这些系统的密码,随后才释放勒索软件,从而最大限度地造成损害。
最新下载