新兴的 EstateRansomware 勒索软件团伙

关键要点

EstateRansomware 利用已修复的高危漏洞进行入侵，目标是 Veeam Backup amp Replication 软件。攻击首先通过 Fortinet FortiGate 防火墙的 SSL VPN 实例进行暴力破解。攻击者使用了名为 svchostexe 的后门，并进行基于远程桌面协议的横向移动。他们还创建了名为 VeeamBkp 的新账户，并禁用了 Windows Defender。

根据 The Hacker News 的报道，新兴的 EstateRansomware 勒索软件团伙自四月以来，利用已解决的 Veeam Backup amp Replication 软件漏洞CVE202327532进行入侵。

根据 GroupIB 的分析，EstateRansomware 的入侵行为首先针对 Fortinet FortiGate 防火墙的 SSL VPN 实例，进行暴力破解以获得初始访问权限。随后，攻击者部署了持续存在的 svchostexe 后门，并通过远程桌面协议RDP进行横向移动。攻击成功利用该漏洞后，接着激活了 xpcmdshell，并创建了一个名为 VeeamBkp 的新账户，该账户与 NetScan 等黑客工具一起用于恶意活动。研究人员指出，攻击者最终停用了 Windows Defender 之后，才开始分发勒索软件。

twitter加速器永久免费版

这些发现是在 Cisco Talos 的报告发布后得出的，该报告详细探讨了 勒索软件攻击的演变战术、技巧和程序。Cisco Talos 表示：“这种多样化突显了网络犯罪活动向更具针对性的精致化方向转变，例如 Hunters International、Cactus 和 Akira 等团伙在特定领域中开拓特定利基，集中于不同的操作目标和风格选择，以此来区分自己。”

主题详情勒索软件团伙EstateRansomware目标漏洞CVE202327532初步攻击方式针对 Fortinet FortiGate 防火墙 SSL VPN 实例进行暴力破解使用的工具svchostexe，xpcmdshell，VeeamBkp 账户安全防护措施禁用 Windows Defender

这种新型勒索软件的出现表明网络安全领域的威胁持续演变，企业和机构需要不断增强防护措施，以应对更复杂的攻击手法。