勒索软件攻击与受害者应对

作者：Joe Marshall

2025年10月16日星期四 14:00

欢迎阅读本周的《威胁源》简报。我很幸运从未成为勒索软件攻击的直接受害者，我的经验仅限于研究和响应层面。勒索软件攻击是一个严峻的场景：某天你正在工作或处理自己的事务，突然桌面上出现威胁信息，系统停止运行。人类的生存很大程度上依赖于生计，因此这种压力可能非常严重。我完全理解这一点。

因此，我从学术角度对压力反应和人类在逆境中的表现充满兴趣。勒索软件攻击绝对属于逆境，如果你曾经历过，我深表同情。但个人反应和商业反应及其影响都有其科学依据。

过去一年中，关于这些反应方面的优秀研究已经发布，帮助回答其中一些问题，我自然深入研究了这些研究。令我印象深刻的一点是攻击的影响及其对小企业这一受害者群体的影响。英国政府《勒索软件攻击对个人和组织的经历和影响》报告中的一位小企业主表示：

“我开始重建，使用个人资金，过去两三年一直靠个人资金生活……我的储蓄已经归零……这对我产生了全面影响……我的业务从近25万英镑降至约2万英镑。”

这种影响并非个例。根据经验，我可以告诉你小企业是勒索软件运营者的主要受害者群体。这很合理——小受害者支付金额可能较少，但安全标准和防御知识也较低。他们也没有中型或大型企业拥有的现金储备、法律团队或专门的IT安全人员。简而言之，他们特别脆弱。

那么对健康和福祉的影响呢？我们能做什么？企业为什么应该关心？引用皇家联合服务研究所（RUSI）报告《你的数据被窃取和加密：勒索软件受害者经历》的说法，勒索软件受害者经历的创伤、疲惫和情感伤害堪比——且往往超过——财务或运营损失。你可以在网络攻击的直接运营损害中幸存并恢复日常业务运营，但却可能因为员工处理事件创伤而影响企业的竞争和生存能力，最终输掉整场战争。

网络攻击既是技术危机，也是心理危机。企业领导层明智的做法是理解这一点。以同理心领导，记住员工在这些事件中期待你的领导。人们追随冷静，而不是命令。制定事件响应计划，既要应对技术危机，也要照顾员工。最终你可能会变得更强大，既有能够应对逆境的公司，也有得到关怀的员工。

重要发现

思科Talos发现了一个与朝鲜威胁组织"著名千里马"相关的新恶意软件活动，该活动针对求职者，通过特洛伊木马化应用程序窃取凭据和加密货币。该活动包含两个主要工具BeaverTail和OtterCookie，它们的功能正在合并，现在包括用于键盘记录、屏幕截图和剪贴板监控的新模块。攻击者通过恶意NPM包甚至假的VS Code扩展传递这些威胁，使检测和预防更具挑战性。

为什么需要关注

此活动突显了攻击者如何使用社会工程和软件供应链攻击来危害个人和组织，而不仅仅是直接针对公司。如果你或你的组织使用开发工具、npm包或收到未经请求的工作邀请，可能面临凭据或加密货币被盗的风险。

应对措施

安装NPM包、浏览器扩展或来自非官方来源的软件时要保持警惕，并验证工作邀请通信的合法性。使用分层安全解决方案，如端点保护、多因素认证和网络监控工具（如思科推荐的工具），以检测和阻止这些威胁。

本周安全头条

哈佛成为Oracle EBS零日攻击的首个确认受害者 10月12日，哈佛被列入专门针对Cl0p勒索软件受害者的数据泄露网站。黑客已提供超过1.3 TB的据称包含哈佛数据的存档文件。
两个新的Windows零日漏洞在野外被利用微软发布了修复183个安全漏洞的补丁，涵盖其产品，包括三个在野外被主动利用的漏洞。其中一个影响每个曾经发布的版本。
官方打击东南亚网络犯罪网络，没收150亿美元针对"王子集团"及其关联企业和业务的加密货币没收和制裁行动，标志着对该地区网络犯罪运营采取的最广泛行动。
勒索组织泄露Salesforce黑客攻击的数百万条记录泄露发生在该组织（臭名昭著的Lapsus$、Scattered Spider和ShinyHunters黑客的分支）声称从39个Salesforce客户窃取数据几天后，威胁除非CRM提供商支付赎金，否则将泄露数据。

即将举行的Talos活动

DEEP会议（10月22-23日）克罗地亚彼得查内
NTNU恶意软件论坛（10月28-29日）挪威奥斯陆
Bsides奥西耶克（11月5日）克罗地亚奥西耶克
AVAR（12月3-5日）马来西亚吉隆坡

过去一周Talos遥测中最普遍的恶意软件文件

SHA256: d933ec4aaf7cfe2f459d64ea4af346e69177e150df1cd23aad1904f5fd41f44a MD5: 1f7e01a3355b52cbc92c908a61abf643 Talos信誉: https://talosintelligence.com/talos_file_reputation?s=d933ec4aaf7cfe2f459d64ea4af346e69177e150df1cd23aad1904f5fd41f44a 示例文件名: cleanup.bat 检测名称: W32.D933EC4AAF-90.SBX.TG

SHA256: 9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507 MD5: 2915b3f8b703eb744fc54c81f4a9c67f Talos信誉: https://talosintelligence.com/talos_file_reputation?s=9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507 示例文件名: e74d9994a37b2b4c693a76a580c3e8fe_1_Exe.exe 检测名称: Win.Worm.Coinminer::1201

SHA256: 96fa6a7714670823c83099ea01d24d6d3ae8fef027f01a4ddac14f123b1c9974 MD5: aac3165ece2959f39ff98334618d10d9 Talos信誉: https://talosintelligence.com/talos_file_reputation?s=96fa6a7714670823c83099ea01d24d6d3ae8fef027f01a4ddac14f123b1c9974 示例文件名: 96fa6a7714670823c83099ea01d24d6d3ae8fef027f01a4ddac14f123b1c9974.exe 检测名称: W32.Injector:Gen.21ie.1201

SHA256: 41f14d86bcaf8e949160ee2731802523e0c76fea87adf00ee7fe9567c3cec610 MD5: 85bbddc502f7b10871621fd460243fbc Talos信誉: https://talosintelligence.com/talos_file_reputation?s=41f14d86bcaf8e949160ee2731802523e0c76fea87adf00ee7fe9567c3cec610 示例文件名: 85bbddc502f7b10871621fd460243fbc.exe 检测名称: W32.41F14D86BC-100.SBX.TG

SHA256: a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91 MD5: 7bdbd180c081fa63ca94f9c22c457376 Talos信誉: https://talosintelligence.com/talos_file_reputation?s=a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91 示例文件名: e74d9994a37b2b4c693a76a580c3e8fe_3_Exe.exe 检测名称: Win.Dropper.Miner::95.sbx.tg