一项新发现的名为BlackRouter的勒索软件被伊朗开发者作为勒索软件即服务进行推广。该恶意软件通过黑客入侵远程桌面服务或通过欺骗下载来分发的。因此,用户请确保计算机不允许RDP直接连接到Internet,并确保扫描从不受信任的来源下载的任何内容。同时这位开发者分发了另一个名为Blackheart的勒索软件,并宣传可以对RAT等进行感染。
BlackRouter最初是在2018年5月发现的,当TrendMicro发现它放弃AnyDesk远程访问程序和受害者计算机上的键盘记录器时,就已经众人皆知 。
原装BlackRouter / Blackheart Ransomware
1月初,一位名叫Petrovic的安全研究人员发现了一个新版本的BlackRouter恶意软件,他在Twitter上分享了这个样本。此外,其他研究团队表示这与之前的版本基本相同,但具有更好的GUI并且添加了计时器功能。
BlackRouter Ransomware GUI
在BlackRouter被发现后不久,另一另安全研究员称,这个勒索软件正被伊朗开发商在广告上的黑客频道中推广为RaaS。
BlackRouter推广广告
加入此RaaS并分发BlackRouter勒索软件的相关公司将获得所有付费的80%,其他20%支付给BlackRouter开发者。
此外,该操作者正在推广名为BlackRat的远程访问木马,据称其中包括加密通信,AV规避,小尺寸,插件,启用RDP的能力,配置矿工,窃取加密货币钱包,键盘记录器,密码窃取器等功能,等等。
BlackRat推广
BlackRouter似乎没有大量被分发传播,自12月31日以来只有一个提交给ID Ransomware。
话虽如此,像BlackRouter这样的勒索软件通常是通过黑客入侵远程桌面服务或通过欺骗下载来分发的。因此,请确保不允许RDP直接连接到Internet,并确保扫描从不受信任的来源下载的任何内容。