2022年7月，阿爾巴尼亞遭遇了一場嚴重的網絡攻擊事件，其政府部門被迫關閉所有提供在線公共服務的網站和政府官方網站。阿爾巴尼亞總理埃迪·拉馬就此事表示，政府懷疑此次攻擊是由某個國家組織的，而非普通黑客或有組織的犯罪集團發起。同年9月，攻擊者又針對阿爾巴尼亞TIMS、ADAM和MEMEX系統發起了第二波網絡攻擊。在這兩次出于政治動機的網絡攻擊中，名為“RoadSweep”的勒索軟件被曝出。

近日，瑞星安全研究院針對RoadSweep勒索軟件的兩次攻擊樣本進行了詳細的分析，發現該勒索軟件分別偽裝成XML瀏覽工具和PDF轉換工具，通過有效數字簽名繞過檢測，進而對受害者電腦數據進行加密，達到干擾政治的目的。目前，瑞星ESM防病毒終端安全防護系統已可查殺相關樣本，廣大用戶可安裝該產品進行防范。

圖：有效的數字簽名

瑞星安全專家介紹，在這兩起攻擊事件中，攻擊者將RoadSweep勒索軟件分別偽裝成XML瀏覽工具和PDF轉換工具，均利用了英偉達（Nvidia）和科威特電信公司（Kuwait Telecommunications Company）的有效數字證書（目前該證書已失效）來簽署勒索軟件，因此具有一定的迷惑性，同時繞過了安全軟件的檢測。

雖然這兩起攻擊中勒索信文本內容不同，但都使用阿爾巴利亞語與英語提及相同的政治消息：

攻擊者在第一次攻擊中使用的勒索信內容：

"Pse duhet të shpenzohen taksat tona në dobi të terroristëve të DURRESIT?"

"Why should our taxes be spent on the benefit of DURRES terrorists?"

（為什么我們的稅收應該用于DURRES恐怖分子的利益？）

攻擊者在第二次攻擊中使用的勒索信內容：

Shqipëria ende po paguan për aktet terroriste të kultit MEK në Durrës;Dhe kjo lojë do të vazhdojë ...

Albania is still paying for the terrorist acts of the MEK cult in Durres;And this game WILL continue ...

（阿爾巴尼亞仍在為杜勒斯MEK邪教組織的恐怖行為買單；這場比賽將繼續。。。）

同時，在第一封勒索信中，攻擊者提供了四組電話號碼以建立溝通，其中的第一個電話號碼竟然是阿爾巴尼亞總統Ilir Meta曾經使用的號碼：0682031701，0682099450，0697047470，0682030272。

圖：第一次攻擊中的勒索信

圖：第二次攻擊中的勒索信

瑞星安全專家表示，近年來有越來越多的勒索組織以國家政務、關鍵基礎設施為主要攻擊目標，入侵政府職能部門或內部系統，擾亂社會及民眾的日常生產、生活，給國家和社會帶來極大的安全風險，因此國內相關部門應提高警惕，加強防護，避免類似的事件發生。具體防范措施如下：

部署網絡安全態勢感知、預警系統等網關安全產品。網關安全產品可利用威脅情報追溯威脅行為軌跡，幫助用戶進行威脅行為分析、定位威脅源和目的，追溯攻擊的手段和路徑，從源頭解決網絡威脅，最大范圍內發現被攻擊的節點，幫助企業更快響應和處理。

安裝有效的殺毒軟件，攔截查殺惡意文檔和木馬病毒。殺毒軟件可攔截惡意文檔和木馬病毒，如果用戶不小心下載了惡意文件，殺毒軟件可攔截查殺，阻止病毒運行，保護用戶的終端安全。

圖：瑞星ESM防病毒終端安全防護系統可查殺相關樣本

免責聲明：市場有風險，選擇需謹慎！此文僅供參考，不作買賣依據。

關鍵詞：