发现一种新的勒索软件被部署来攻击SonicWall SMA 100系列VPN设备。专家称其为“五手”，其目标遍及欧洲和北美。

根据Mandiant安全分析师的说法，此次攻击背后的组织是UNC2447，该组织是启动系统数据和网络入侵的专家。

他们还表示，这是部署“FiveHands”勒索软件的组织。这发生在2月晚些时候发布补丁之前。

集团的行动目标是SonicWall

UNC2447对于某些系统的利用并不新鲜。在他们传播勒索软件有效载荷之前，该组织被发现在完全控制Cobalt Strike植入物后，正在寻找更多的部署。

在CostaRicto竞选期间，另一种名为SombRAT后门的恶意软件也参与了他臭名昭著的黑客团伙，即黑莓博客写道。

今年1月，SonicWall的内部系统也遭遇了几次零日攻击。在同一个月，100零日漏洞根据NCC集团的说法，它们在野外变得更容易被利用。

读也:微软Exchange服务器遭到黑客攻击——公司发布缓解技术以阻止链式攻击万博体育登录首页

FiveHands勒索软件与HelloKitty勒索软件相似

去年10月，UNC2447通过部署FiveHands勒索软件在野外发起攻击。此外，该恶意软件与HelloKitty勒索软件有惊人的相似之处，这导致了攻击的延迟“网络朋客2077”1.2补丁。

上述勒索软件一直让《赛博朋克》(Cyberpunk)的电子游戏发行商CD Projekt Red非常头疼。开发者称游戏的源代码已经被黑客窃取。

其他涉及攻击的游戏还有“巫师3”及其未发布的版本，以及“Gwent”。

除了SonicWall和CD Projekt Red，巴西大型企业Companhia Energética de Minas Gerais也成为了黑客行动的受害者。

Mandiant进一步表示，到1月份，HelloKitty勒索软件幕后人员的活动已经逐渐减少。然而，这只是让FiveHands出现在持续到今天的剥削中。

威胁分析人士说:“根万博体育登录首页据对HELLOKITTY和FIVEHANDS部署的技术和时间观察，曼迪安特怀疑HELLOKITTY可能在2020年5月至2020年12月期间被一个整体联盟计划使用，FIVEHANDS可能从2021年1月左右开始使用。”

FiveHands和HelloKitty通常被描述为相同的恶意软件，它们具有相同的功能和代码。今年4月初，Mandiant还发现HelloKitty图标与Tor上的FiveHands勒索软件有关联。

4月27日，星期四，电脑发出哔哔声报道称，惠斯勒度假胜地市政当局利用Tor上的同一站点遭受了新的勒索软件攻击。目前，尚不清楚此次攻击是否与FiveHands漏洞有关。

与死亡thransom和HelloKitty相比，FiveHands的特殊之处在于其额外的功能。它可以通过Windows重启管理器操作当前文件，然后对其进行密封和加密。

相关文章:发现新的中央情报局恶意软件;网络安全公司卡巴斯基称其“监视”网络流量

本文归科技时报所有万博体育登录首页

作者:约瑟夫·亨利