【安全资讯】RomCom集团利用微软零日漏洞进行地下勒索软件攻击

概要：

FortiGuard Labs发现了一种名为Underground的新型勒索软件，该软件与俄罗斯的RomCom集团（也称为Storm-0978）有关。这种恶意软件自2023年7月以来一直活跃，已攻击多个行业，包括建筑、制药、银行和制造业。该软件通过加密受害者的Windows机器上的文件，要求支付赎金以解密文件。

主要内容：

FortiGuard Labs近期发现了一种名为Underground的新型勒索软件，该软件与俄罗斯的RomCom集团（也称为Storm-0978）有关。自2023年7月以来，Underground勒索软件已在全球范围内活跃，攻击了包括建筑、制药、银行和制造业在内的多个行业。该软件通过加密受害者的Windows机器上的文件，要求支付赎金以解密文件。

RomCom集团利用了微软Office和Windows HTML中的一个漏洞（CVE-2023-36884），但他们也可能使用了更常见的攻击手段，如钓鱼邮件和从初始访问经纪人（IABs）购买访问权限。一旦Underground成功渗透系统，它会系统性地禁用安全措施，删除影子副本和事件日志，然后加密文件，并留下赎金通知，要求支付赎金。

Underground勒索软件的一个显著特点是，它不会更改文件扩展名，使受害者更难识别哪些文件已被加密。赎金通知文件名为“!!readme!!!.txt”，其中详细说明了攻击者的要求。该勒索软件的影响范围广泛，目前其数据泄露网站上列出了来自美国、法国、德国、西班牙、韩国、台湾、新加坡和加拿大等多个国家的16名受害者。

为了进一步传播被盗数据，RomCom集团还利用了Telegram频道和云存储服务Mega。各组织被敦促确保其系统及时更新，特别是针对已知漏洞如CVE-2023-36884的补丁，并教育员工关于钓鱼和其他常见攻击向量的危险。