LeChiffre勒索软件的目标是美国发行商，威胁猎杀部主管海因迈尔（Max Heinemeyer）| 2020年7月28日星期二首次观察到，LeChiffre勒索软件的工作原理是加密文件并将其扩展名改为.LeChiffre（法语翻译为"密码"）。与其他恶意软件不同，黑客必须在受损系统上手动运行LeChiffre。网络罪犯会自动扫描网络以搜索安全性较差的桌面，然后远程登录并手动运行病毒。到从当前勒索软件的浪潮和成功中获利，许多低级威胁集团正在使用已知勒索软件的突变。尽管在线提供了多种恢复工具，但LeChiffre在所有行业中仍然是一个持久且极具破坏性的威胁，新的突变使它能够绕过许多遗留的安全性解决方案。最近Darktrace客户环境中的活动最近发现在部署到批发经销商网络我们。完毕在一周的时间里，我们看到一些设备对mimikatzpowershell脚本发出HTTP请求，然后第一次使用管理凭据进行身份验证。受感染的设备随后在端口445上显示网络扫描活动。不久之后，这些设备开始通过SMB将多个文件（svcctl、PsExec）写入多个其他设备上的隐藏文件共享设备活动发生在一个星期天的清晨，当时安全小组没有密切监视网络，也没有看到活动。然而，Darktrace的AI实时检测到高度可疑的活动，监测19.7k的SMB移动成功率，使用.LEV62C_LeChiffre扩展和几乎38.8k的SMB写入成功与LEV62C_LeChiffre_自述文件.txt-赎金注意。这个威胁活动没有被组织的其他安全部门发现，很可能是因为下载的mimikatzpowershell脚本是从重定向的合法域githubusercontent[.]com下载的。这个合法域的使用使得它不被防火墙和端点检测所察觉，而这个特定的LeChiffre恶意软件变种还没有被基于签名的识别工具。但是，不断更新对组织中每个网络和设备的"正常"行为的理解，黑暗种族的人工智能很快发现了这种异常活动，并将其标记为高度威胁。网络人工智能分析师随后全面调查了这起攻击事件，自主地将这些点连在一起，浮出了攻击链的五个阶段，为事件回顾做好了准备。这大大缩短了安全团队的事件响应时间，他们能够隔离受感染的设备并迅速使其脱机。下面显示了SMB文件加密的AI分析报告示例下图1： Darktrace的网络人工智能分析师自主调查受感染设备的攻击概述图2：显示6月21日Darktrace检测群集的图表图3：设备事件日志显示6月21日模型违规列表机器速度攻击需要机器速度响应此事件发生时客户正在参加Darktrace的30天免费价值证明。如果Darktrace的自主响应技术Antigena被启用，AI会立即做出响应，在恶意软件试图横向移动时采取行动，阻止破解设备进行加密。即使没有Antigena，Darktrace的实时检测和AI支持的调查使安全团队能够迅速降低妥协。那个恶意软件的商品化大大降低了进入壁垒。许多形式的勒索软件很容易被低级别的威胁参与者通过购买暗黑网络而获得，而网络犯罪分子所做的微小改变可以很容易地使攻击不被大多数安全工具发现。现在，即使是低技能的威胁行为体也有可能造成重大破坏并逃避传统安全堆栈。那个上述事件表明，勒索软件继续对多个行业构成非常现实的威胁。由于勒索软件能够在几分钟内对数百台设备上的文件进行加密，因此对机器速度响应的需求比以往任何时候都更加重要。暗黑种族的安提吉纳使安全小组能够通过自主应对威胁活动，在威胁面前取得领先地位，让设备离线或强化其"生活模式"以维持业务操作。谢谢黑暗追踪分析家Fiona Goh对上述威胁的洞察力找到。学习更多关于自主资源ponseIoCs:ioccommentelv62c_LeChiffre_ReadMe.txtRansom注：LEV62C\u Lechiffresuccessaccess使用LeChiffre加密扩展MarkTrace的SMB移动d型测试：妥协/勒索软件/可疑SMB活动设备/多个横向移动模型破坏设备/大量模型破坏异常文件/内部/附加到SMB文件设备的附加扩展/新的或不寻常的远程命令执行异常连接/大量新的或不常见的服务控制异常连接/SMB枚举设备/可疑网络扫描活动设备/网络扫描合规性/SMB驱动器写入使用活动/SMB访问失败经验/默认凭据使用V3Max HeinemeyerMax是一位在该领域拥有超过九年经验的网络安全专家，专门从事网络监控和攻击性安全。在Darktrace，Max与战略客户合作，帮助他们调查和应对威胁，并监督剑桥英国总部的网络安全分析师团队。在担任现任职务之前，马克斯领导着惠普在中欧的威胁和脆弱性管理部门。在这个职位上，他是一个白帽黑客，领导渗透测试和红队的活动。当他还在德国生活时，他也是德国混沌电脑俱乐部的一员。Max拥有杜伊斯堡-埃森大学（University of Duisburg-Essen）的硕士学位和斯图加特合作州立大学（Cooperative State University Stuttgart）的国际商务信息理学学士学位系统。共享在LinkedIn上的FacebookTweetShare发送电子邮件