微软还驳斥了谣言,称黑客正在使用BlueKeep漏洞来安装DoppelPaymer勒索软件。
在今天发布的一份声明中,微软拒绝了谣言,即网络犯罪团伙正在使用其Microsoft Teams通信和协作平台在企业网络上植入勒索软件。
像所有谣言一样,它的起源是未知的,但是在西班牙的几家公司都感染了勒索软件之后,这个谣言在11月初开始在线流传。谣言称微软团队是攻击的感染点,是由不参与官方调查的Twitter帐户在网上提出的,并被西班牙各大新闻媒体看成是真面目,帮助它获得了更大的发展动力。
微软安全响应中心(MSRC)事件响应主管西蒙·波普(Simon Pope)说: “微软一直在调查使用Dopplepaymer勒索软件的恶意行为者最近的攻击。”
Pope补充说:“关于Microsoft Teams的误导性信息以及对RDP(BlueKeep)的引用,都是这种恶意软件传播的方式。”
微软执行官说:“我们的安全研究团队已经调查,没有发现证据支持这些说法。” “在我们的调查中,我们发现该恶意软件依赖远程操作人员使用现有的Domain Admin凭据在企业网络中传播。”
勒索软件可以通过各种方法访问公司内部网络中的一台计算机,提取本地域管理员的凭据,然后横向传播到更多计算机,并在此过程中对其数据进行加密。
除了拒绝谣言说Microsoft Teams以某种方式参与了最近的攻击之外,Pope还解决了第二种谣言,这些谣言也在社交媒体和一些科技新闻网站上流传。
第二个谣言声称,网络犯罪分子可能已经利用BlueKeep RDP漏洞安装了DoppelPaymer勒索软件,同时也提到了在西班牙和以后发现的相同攻击,例如那些袭击墨西哥国家石油公司PEMEX的攻击。
这是该公司的首创。直到今天,Microsoft从未发布过这样严厉的声明来纠正在线谣言。
事后看来,这两种谣言都从未像现在这样流行,在一些新闻媒体的文章中也有重复,而且很容易被驳斥。
首先,DoppelPaymer勒索软件是BitPaymer勒索软件的一个版本,并且在历史上一直是通过Dridex僵尸网络或Emotet僵尸网络(或两者)专门分发的。
在某些情况下,感染了Dridex或Emotet恶意软件的计算机通常用于为勒索软件提供对公司内部网络的手动访问。如上文Pope所述,攻击者在这里提取公司内部网络的凭据,以横向传播到其他系统,然后在尽可能多的系统上安装DoppelPaymer。
正如安全研究员Kevin Beaumont和Rapid7首席数据科学家Bob Rudis多次表示的那样,当今大多数RDP恶意流量都是RDP暴力攻击-攻击者试图猜测RDP连接密码-而不是BlueKeep相关的利用交通。
