Quantum 勒索软件是 2021 年 8 月首次发现的一种病毒，人们看到它进行了迅速升级的快速攻击，使防御者几乎没有时间做出反应。

威胁参与者使用 IcedID 恶意软件作为其初始访问媒介之一，该恶意软件部署 Cobalt Strike 进行远程访问，并导致使用 Quantum Locker 进行数据盗窃和加密。

The DFIR Report的安全研究人员分析了 Quantum 勒索软件攻击的技术细节，他们表示，从最初感染到完成加密设备，这次攻击仅持续了 3 小时 44 分钟。

Emotet malware now installs via PowerShell in Windows shortcut files

使用 IcedID 作为初始访问

The DFIR Report 看到的攻击使用 IcedID 恶意软件作为对目标机器的初始访问，他们认为这是通过包含 ISO 文件附件的网络钓鱼电子邮件到达的。

IcedID 是过去五年使用的模块化银行木马，主要用于第二阶段有效负载部署、加载程序和勒索软件。

IcedID 和 ISO 档案的组合最近被用于其他攻击，因为这些文件非常适合通过电子邮件安全控制。

在初始感染两小时后，威胁参与者将 Cobalt Strike 注入 C:\Windows\SysWOW64\cmd.exe 进程以逃避检测。

感染链的第一步 (DFIR)

在这个阶段，入侵者通过转储 LSASS 的内存来窃取 Windows 域凭据，从而使它们能够通过网络横向传播。

“在接下来的一个小时里，攻击者继续与环境中的其他服务器建立 RDP 连接，”DFIR 在报告中详细说明。

“一旦威胁者掌握了域的布局，他们就准备通过 C$ 共享文件夹将勒索软件（名为 ttsel.exe）复制到每个主机来部署勒索软件。”

最终，威胁参与者使用 WMI 和 PsExec 部署 Quantum 勒索软件有效负载并加密设备。

这次攻击只用了四个小时，速度相当快，而且由于这些攻击通常发生在深夜或周末，它并没有为网络和安全管理员提供检测和响应攻击的大窗口。

有关 Quantum Locker 使用的 TTP 的更多详细信息，DFIR 报告提供了广泛的妥协指标列表以及 IcedID 和 Cobalt Strike 连接到的用于通信的 C2 地址。

谁是量子锁？

Quantum Locker 勒索软件是MountLocker 勒索软件操作的更名，该操作于 2020 年 9 月推出。

从那时起，勒索软件团伙将其运营重新命名为各种名称，包括 AstroLocker、XingLocker，现在处于当前阶段的是 Quantum Locker。

Quantum 品牌更名发生在 2021 年 8 月，当时勒索软件加密器开始将.quantum文件扩展名附加到加密文件名并删除名为README_TO_DECRYPT.html的赎金票据。

这些笔记包括一个指向 Tor 赎金协商站点的链接和一个与受害者相关联的唯一 ID。赎金记录还指出，数据在攻击期间被盗，如果不支付赎金，攻击者威胁要公布这些数据。

Quantum Locker 赎金票据

Quantum Locker 赎金记录

来源：BleepingComputer

虽然 DFIR 报告指出，他们在分析的攻击中没有发现任何数据泄露活动，但 BleepingComputer 过去曾证实，他们确实在攻击期间窃取数据并以双重勒索计划泄露数据。

该团伙的赎金要求因受害者而异，有些攻击需要 15 万美元才能获得解密器，而 BleepingComputer 看到的其他攻击要求数百万美元，如下所示。

Quantum Locker 索要 380 万美元的赎金

要求 380 万美元赎金的 Quantum Locker

资料来源：BleepingComputer

值得庆幸的是，Quantum Locker 不像之前的版本那样非常活跃，每个月只有少数攻击。

然而，虽然它们可能不像 Conti、LockBit 和 AVOS 等其他勒索软件操作那样活跃，但它们仍然是一个重大风险，对于网络防御者来说，了解与其攻击相关的 TTP 很重要。