安全公司Proofpoint检测到在8月3日至8月9日期间,上万封垃圾邮件信息传播勒索软件CrypFile2,主要针对美国政府机构和教育部门。
这次攻击开始势头很强,Proofpoint称第一天检测到上万封垃圾邮件信息,随后几天渐渐平息,不过8月9日仍能检测到上千条信息。
攻击者的目标是政府机构
这些垃圾邮件中多数收件地址为各州以及当地政府部门,其次是K-12教育机构。
另外少数被攻击的目标还包括医疗机构、中学教育机构、电信公司、保险公司和技术公司。
勒索软件CrypFile2
这次攻击中出现了一款相对陌生的勒索软件,首次发现于去年3月,名为CrypFile2,是CrypBoss勒索软件家族中的一员。CrypBoss家族中的HydraCrypt 和UmbreCrypt都已被破解,但CrypFile2还未被安全研究人员破解。
CrypFile2相比较去年似乎已有更新,但其基本运作模式并未改变。
唯一主要改变的就是其传播方式。之前攻击者利用Neutrino 和Nuclear工具包通过偷渡式下载攻击感染用户。
而这次攻击者选择使用垃圾邮件进行传播,邮件中包含打包有恶意宏脚本的office文件。用户打开office文件,并启用编辑,就会运行宏脚本,从而下载安装CrypFile2。
这类垃圾邮件的主题通常会围绕美国航空公司免费机票和打折优惠等信息。