近期，一种鲜为人知的名为AstraLocker的勒索软件发布了它的第二个主要版本，据威胁分析师称，它能快速发动攻击，并直接从电子邮件附件中删除其有效负载。这种方法是很少见的，因为所有典型的电子邮件攻击都会尽量逃避检测，并尽量减少电子邮件安全产品发出危险信号的几率。

　　根据一直跟踪AstraLocker的ReversingLabs的说法，攻击者似乎并不关心侦察、有价值文件、以及潜入内网横向移动等。相反，他们追求以最大的力量发起对目标的攻击，来换取快速回报。

　　勒索软件AstraLocker 2.0使用的诱饵是一个Microsoft Word文档，该文档隐藏了一个带有勒索软件有效载荷的OLE对象，其中嵌入式可执行文件的文件名为“WordDocumentDOC.exe”。要执行有效负载，用户需要在打开文档时出现的警告对话框上单击“Run”。这种处理方法符合Astra的整体“击杀-抓取”策略，选择OLE对象而不是恶意软件发行版中更常见的VBA宏。

　　另一个选择是使用 SafeEngine Shielder v2.4.0.0 来打包可执行文件，这是一个非常陈旧过时的打包程序，几乎不可能进行逆向工程。在反分析检查以确保勒索软件没有在虚拟机中运行，并且没有在其他活动进程中加载调试器之后，恶意软件会使用Curve25519算法为加密系统做好准备。这些准备工作包括终止可能危及加密的进程，删除卷映像副本，以及停止一系列备份和反病毒服务。

　　根据 ReversingLabs 的代码分析，AstraLocker 是基于泄露的Babuk源代码，这是一种有缺陷但仍然很危险的勒索软件，好在它已于2021 年9月退出该领域。此外，勒索信中列出的Monero钱包地址之一与Chaos勒索软件的组织有关。这可能意味着相同的威胁行为者在操作这两种恶意软件，这种情况并不少见。但从最新的案例来看，AstraLocker 2.0似乎不是一个老练的威胁行为者的行为，因为他会尽可能地破坏更多目标。

　　近期，半导体巨头AMD表示，他们正在调查一起网络攻击事件，去年，RansomHouse团伙声称从该公司窃取了450gb的数据。RansomHouse是一个数据勒索组织，他们侵入公司网络，窃取数据，然后要求支付赎金，或出售给其他威胁行为者。过去一周，RansomHouse在Telegram上调侃称，他们将出售一家以字母a开头、由三个字母组成的知名公司的数据。然后，该勒索团伙将AMD加入了他们的数据泄露网站，并声称他们窃取了高达450gb的数据。

　　据BleepingComputer了解，该组织的“伙伴”大约一年前就侵入了AMD的网络。虽然该网站称数据是在2022年1月5日被盗的，但威胁行为者表示，其实这时候黑客已经无法访问AMD网络了。虽然RansomHouse此前曾有过勒索操作，但他们表示，他们不会对设备进行加密，而且对AMD也没有使用勒索软件。威胁参与者表示，他们没有联系AMD索要赎金，因为把数据卖给其他实体或威胁参与者更有价值。RansomHouse的一名代表说，他们没有联系AMD，因为期间会牵扯各种交涉，比起这个，将数据出售给第三方更省时省力。

　　被盗数据包括一些研究数据和财务信息，RansomHouse表示正在对这些数据进行分析，以确定其价值。除了据称从AMD的Windows域收集的一些包含信息的文件外，威胁行为者没有提供任何证据来证明这些被盗数据。这些数据包括一份泄露的CSV文件，其中包含7万多台设备，似乎属于AMD的内部网络，以及一份所谓的AMD公司用户凭据清单，其中包括弱密码，如“password”，“P@ssw0rd”，“AMD !”23日”和“Welcome1。”AMD方也表示他们已经意识到这一事件，并正在调查这一事件。

　　RansomHouse于2021年12月开始运营，它的第一个目标是萨斯喀彻温省酒类和博彩管理局(SLGA)。虽然该勒索组织声称在他们的攻击中不使用勒索软件，但一份有关白兔勒索软件的说明清楚地表明他们与勒索软件组织有关。

　　自去年12月以来，RansomHouse的数据泄露网站又增加了五名受害者，其中就有AMD公司，并且非洲最大的连锁超市Shoprite Holdings就是受害者之一，该公司于6月10日证实了一次网络攻击。

　　近期，大量 QQ 用户反馈称遇到了自己或是身边的朋友、家人、同事等被盗号的情况。