专家发现了一个新版本的 IcedID 银行木马，它使用隐写术感染受害者，作为 COVID-19 主题攻击的一部分。在 COVID-19 主题攻击中使用了新版本的 IcedID 银行木马，该新变种使用隐写术感染受害者并实现了逃避检测功能。

关键词：IcedID、COVID-19

美国已将计算机程序员 Stanislav Vitaliyevich Lisov（35）驱逐到俄罗斯，他是 NeverQuest 银行恶意软件的作者，Lisov 于 2017 年 1 月在巴塞罗那机场被 Guardia Civil 逮捕。这位俄罗斯黑客被怀疑是 Neverquest 恶意软件（又名 Vawtrak 恶意软件）的作者。网络犯罪分子利用 Neverquest 窃取银行客户的登录凭据，它利用注入机制为用户提供了进入合法银行网站的虚假表格。银行木马能够记录击键，窃取存储在 PC 上的密码，以及从受害者的机器上获取屏幕截图和视频。

关键词：NeverQuest

当一家公司遭受勒索软件攻击时，许多受害者都会觉得攻击者迅速部署了勒索软件就会离开，因此他们不会被抓住。不幸的是，现实情况大不相同，因为威胁者并没有很快放弃他们难以控制的资源。取而代之的是，勒索软件攻击是在一定时间范围内进行的，从一天到一个月不等，开始于勒索软件操作员破坏网络。一般是通过公开的远程桌面服务，VPN 软件中的漏洞或通过 TrickBot，Dridex 和 QakBot 等恶意软件提供的远程访问来实现的。

关键词：TrickBot、Dridex、QakBot

黑客一直在使用伪造的错误日志来存储伪装成十六进制值的 ASCII 字符，这些字符会解码为基于脚本的攻击 payload。这个技巧是中间 PowerShell 命令长链的一部分，该命令最终提供用于侦察目的的脚本。MSP 威胁检测提供者 Huntress Labs 发现了一种攻击情形，其中在目标计算机上，威胁者尝试运行一种不同寻常的技巧来使得攻击程序更加持久化。

关键词：Powershell

据称，CLOP 勒索软件运营商已经入侵了印度企业集团 IndiaBulls Group，其主要业务是住房金融，消费者金融和财富管理。Indiabulls Group 拥有约 19,000 名员工，该公司平均收入为 2500 亿印度卢比。该公司拥有三个运营部门：Indiabulls Housing Finance Ltd，Indiabulls Ventures Ltd 和 Indiabulls Real EstateLtd。CLOP 勒索软件运营商泄漏了从公司偷来的数据，并威胁说如果受害者不支付赎金，将在 24 小时内释放整个转储。“目前，泄漏的数据似乎是勒索软件运营商向 Indiabulls 集团发出的警告，要求其在 24 小时内接受其条款。否则，CLOP 运营商会泄漏大量公司的机密数据。当前的数据泄漏包括该公司与银行高度敏感的文件的快照，例如帐户交易明细，凭证，发送给银行经理的信等等。”

关键词：CLOP

新西兰国家计算机应急小组警告，一个寻求 “勒索软件攻击机会” 的犯罪团伙正在瞄准使用未修补或安全性差的 Citrix 网关的组织，试图窃取数据、传播加密恶意软件，并利用窃取的数据进行勒索。在上周发布的警报中，美国国土安全部网络安全和基础设施安全局随后对其进行了表态，CERT NZ 表示，“复杂而精心设计的” 攻击活动已经在利用 Nefilim（又名 Nephilim）勒索软件对毫无准备的组织进行攻击。CERT NZ 的安全警报说：“我们知道攻击者会通过远程访问系统（例如远程桌面协议和虚拟专用网络）访问组织的网络，以此来创建勒索软件攻击机会。” “他们正在通过弱密码，组织未使用多因素身份验证作为额外的安全性或未打补丁的远程访问系统来获得访问权限。”

关键词：Citrix、Nefilim、Nephilim

俄罗斯的网络犯罪组织 Evil Corp 已在其武器库中添加了一个名为 WastedLocker 的新勒索软件。该勒索软件用于针对企业的定向攻击。Evil Corp 团伙（也被 CrowdStrike 称为 Indrik Spider）是 ZeuS 僵尸网络的附属。随着时间的推移，他们组成了一个小组，致力于通过网络钓鱼电子邮件分发银行木马和名为 Dridex 的下载程序。随着攻击的发展，该组织创建了一个名为 BitPaymer 的勒索软件。为了提供勒索软件，Evil Corp 侵入网站以便插入恶意代码，这些代码显示来自 SocGholish 虚假更新框架的软件更新警报。

关键词：WastedLocker、ZeuS、Dridex、BitPaymer

针对来自奥地利，瑞士和德国的多个组织的中层雇员的 Thanos 勒索软件活动，受害者拒绝支付勒索赎金。Thanos 勒索软件运用勒索即服务（RaaS）操作，出现在讲俄语的黑客论坛上。允许会员通过开发人员提供的构建器来自定义其勒索软件。Recorded Future 的 Insikt Group 表示，由于分支机构使用的加密扩展不同，一些 Thanos 勒索软件样本以前被标记为 Hakbit 勒索软件，这是相同的恶意软件。

关键词：Thanos、Hakbit

自 2017 年以来，RoamingMantis 网络犯罪组织已在不同的信息安全会议和博客上广泛地进行分析和讨论。众所周知，该恶意软件通过以下种类的 Android 恶意软件家族感染受害者：FakeCop，FakeSpy，MoqHao 和 FunkyBot。该恶意软件旨在使犯罪分子能够访问受害者的 Android 设备，以进行进一步的金钱欺诈。到目前为止，该组织主要集中在亚洲国家。它也早在 2018 年就在袭击欧洲。该木马通常是通过 SMS 垃圾邮件发送的，其中包含指向各种不同假网站的链接，诱使受害者下载并安装恶意组件，在本例中为 FakeCop。

关键词：RoamingMantis

新的勒索软件 CryCryptor 一直以加拿大卫生部提供的官方 COVID-19 追踪应用为幌子，通过两个网站分发给加拿大的 Android 用户。ESET 研究人员分析了勒索软件，并为受害者创建了解密工具。CryCryptor 在加拿大政府正式宣布打算支持开发名为 COVID Alert 的追踪应用程序的几天后浮出水面。官方应用程序将于下个月在安大略省推出以进行测试。ESET 一旦发现此威胁，便立即通知加拿大网络安全中心。

关键词：CryCryptor、COVID-19