【安全资讯】Evilnum组织针对欧洲的金融公司发起网络攻击

金融部门（由银行和其他金融组织组成）每天都有大量资金流入或流出金融机构，而且主要以数字格式进行流通使它们成为网络犯罪分子的主要目标。 

赛门铁克一直在跟踪一个复杂的攻击小组。 该组织被称为Evilnum，自2019年12月以来，一直进行针对金融行业公司的攻击活动 。

在研究人员调查期间，针对顶级金融机构的勒索软件呈上升趋势。2020年前5个月金融机构系统中检测到的勒索软件数量是2019年前5个月的两倍多，趋势图如下所示：

<lock v:ext="edit" aspectratio="t">
</lock>

图1，2019年1月至2020年5月，在金融客户中检测到的勒索软件数量

2020年初，Travelex货币兑换服务商遭遇Sodinokibi勒索软件的攻击，据称，黑客在加密之前从该公司的系统中窃取了5 GB的数据。这次袭击造成了Travelex的服务离线近一个月。Sodinokibi攻击者的最初要求600万美元的赎金，据报道，最终Travelex支付了230万美元的赎金令系统恢复正常。

研究人员查看自2019年初以来的被攻击的金融服务业务的位置时，有半数以上的目标企业位于美国，如下所示：

图2，目前为止，金融行业客户中，恶意软件最多的国家是美国

美国是检测恶意软件最多的国家，其次是南美和欧洲国家，这证明全球金融部门的公司正面临着网络犯罪分子恶意软件的威胁。

该组织使用定制的JavaScript后门（或EVILNUM）进行攻击。此后门通常是通过包含指向ZIP存档链接的恶意电子邮件来传递的。存档文件包含伪装成Office文档的LNK附件，例如包含恶意JavaScript的Excel工作表，该后门的近期活动目标是国际金融领域的公司，包括在证券交易市场内运营的公司，以及一些开发供金融组织使用的技术的高科技公司（也称为金融科技公司）。媒体公司也是这次活动的目标。该组织能够将大量时间花受害者网络上。  

结论：

有针对性的勒索软件威胁团伙变得更加复杂和危险。传统的勒索软件参与者会加密系统，并要求赎金来提供解密密钥。然而，自2019年12月以来，勒索软件团伙也一直在窃取数据，如果受害者不支付赎金，他们将公布被盗的数据，受害者即使能够从备份恢复加密系统数据，他们可能仍然选择支付赎金，避免机密业务信息被暴露。