NHS警告过Ryuk通过Trickbot替代品传播

在一系列关于美国医疗保健目标的攻击之后，NHS Digital已警告英国卫生服务组织在时钟内部使用各种装载机的使用量显着上升，包括平兵和布尔，几乎肯定是微软的结果 - 2020年10月，LED Temptbot Trojan-Tros-Botnet拍摄。

Bazar是由Trickbot的运算符设计的模块化工具集向导蜘蛛设计了与TrickBot的大部分功能相同，而Buer在2019年首次观察到，则被销售为更便宜的替代恶意软件 - AS-A-Service Dropper。

NHS Digital表示，它评估了Bazar特别是现在向导蜘蛛的主要访问工具，以及多个安全研究团队已经证实了这一点。

Cofense Intelligence研究人员表示，由于涓涓细流运作的破坏，增加了Bazar以交付Ryuk的使用确实紧密地追踪。

“最近几周，我们评估了高信心，即挥动板已经是Ryuk最主要的装载机，”该公司说。“令人信心较低，我们评估这一波Ryuk活动可能部分地是9月的涓ti扰动的报复。”

Bazar的组件通常在通过Sendgrid经营的矛网络钓鱼活动中提供，这是一个真正的电子邮件营销服务。电子邮件包含到Microsoft Office或Google文档文件的链接，诱饵通常涉及员工终止或借记金的威胁。

反过来，这些电子邮件链接到初始有效载荷，一个最终下载，解压缩和加载Bazar的无头初步装载机。该公司补充说，较新的广告系列似乎放弃了垃圾邮件分布，支持针对公开的管理界面或云服务的人为攻击。

通常，一旦他们使用Bazar获得了目标系统的控制，向导蜘蛛将下载挖掘后的工具包，例如Cobalt Stress或Metasploit，以收集目标信息并枚举网络，此时他们将收取凭证进入其他系统并妥协整个网络 - 然后他们将部署Ryuk Ransomware。NHS Digital表示，目前的Bazar运动可以在五个小时内完成这一点。

同时，增加了通过矛网络钓鱼，也可以最终导致Ryuk赎金软件攻击。

“今年，毁灭性的赎金软件袭击令人遗憾的是网络犯罪分子的淘金匆忙，并且据索菲斯的事件响应经理彼得麦肯兹说，这是一个网络安全行业的追求。“近85％的攻击，[最近推出的] Sophos快速反应涉及如此Farincluded赎金瓶 - 特别是Ryuk，Revil / Sodinokibi和Maze - 我可以放心地说，我们被召开的大多数攻击者都被召开了勒索软件，我们没有这么快。

“易于访问的工具，攻击者可以在一周的工作中获得比大多数人在终生的价值中的净额更大的支付。犯罪分子渗透网络并悄悄地计划在背景中攻击后的攻击，然后在策略性地将赎金软件推出作为最终有效载荷 - 通常在没有人正在观看时的过夜时间，以便尽可能多地执行机器。“

mackenzie补充说：“Sophos快速反应立即采取行动灭火，在医院的情况下，我们在本月在Ryuk赎金软件击中并被迫关闭，意味着生命或死亡的差异。”

NHS Digital已制定了特定的修复建议，以使NHS组织能够预防和检测面部和Buer感染，以及妥协指标。