近日，美國聯邦調查局(FBI)發布了關于一個名為OnePercent Group(1%)的勒索軟件團伙的警告，該團伙自2020年11月以來一直在攻擊美國公司。該團伙的電子郵件針對組織內部的個人使用社會工程技巧欺騙粗心的員工打開包含在附件ZIP文件中的惡意Word文檔。

[[420015]]

但該釣魚郵件并不會立刻加密受害者電腦中的數據，而是在受害者的計算機上安裝一個名為IcedID的模塊化銀行木馬——IcedID(有時也稱為 BokBot)，可以在用戶嘗試訪問其在線銀行賬戶時竊取金融機構的登錄憑據，同時它還可以下載和投放其他惡意軟件。有人認為IcedID是故意以這種方式擴展的，以使其對網絡犯罪分子來說更有利可圖。

IcedID可以下載的附加軟件之一是Cobalt Strike，這是一種深受惡意黑客喜愛的滲透測試工具。Cobalt Strike在目標組織中橫向移動，為遠程黑客泄露敏感數據并將其加密在企業受害者的系統上提供了機會。根據FBI的說法，在部署勒索軟件之前大約一個月，已經在受害者的網絡中觀察到了犯罪分子的活動。

除了確保將防病毒產品配置為檢測已知OnePercent Group在攻擊和數據泄露期間使用的工具外，FBI提供了以下一些預防和緩解措施建議：

• 離線備份關鍵數據;
• 確保管理員沒有使用“管理員批準”模式;
• 如果可能，實施 Microsoft LAPS;
• 確保關鍵數據的副本位于云端或外部硬盤驅動器或存儲設備上。不應從受感染的網絡訪問此信息;
• 保護您的備份并確保無法從原始數據所在的系統訪問數據以進行修改或刪除;
• 保持計算機、設備和應用程序打補丁并保持最新狀態;
• 考慮為從組織外部收到的電子郵件添加電子郵件橫幅;
• 禁用未使用的遠程訪問/遠程桌面協議 (RDP) 端口并監控遠程訪問/RDP 日志;
• 審核具有管理權限的用戶帳戶，并以最低權限配置訪問控制;
• 實施網絡分段;
• 使用具有強密碼短語的多因素身份驗證。

【本文是51CTO專欄作者“安全牛”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文