网络犯罪分子正在使用受感染的 Microsoft Exchange 服务器发送垃圾邮件，旨在用 IcedID 感染人们的 PC，

IcedID 是个坏消息，因为如果您被诱骗运行它，它会打开一个后门，允许将更多恶意软件（例如勒索软件）注入您的系统。标记通常会收到加密的 .zip 作为附件，电子邮件文本中包含密码，以及打开存档内容的说明。这样做会启动一个在计算机上部署 IcedID 的下载器。

IcedID 本身并不新鲜。IBM 的 X-Force 威胁猎手表示，他们早在 2017 年就发现了这款令人讨厌的 Windows 软件，当时它的主要目的是窃取受害者的网上银行凭证。去年，当骗子劫持 BP Chargemaster 域以发送垃圾邮件以传播 IcedID 时，它出现了。

周一，Fortinet 的 FortiGuard 实验室表示，它观察到一封发送给乌克兰燃料公司的电子邮件，其中包含一个 .zip 文件，该文件在打开时会在 PC 上掉落 IcedID。

安全供应商 Intezer 周一也表示，它已经看到不安全的 Microsoft Exchange 服务器向 IcedID 电子邮件发送垃圾邮件。该团队表示，他们在 3 月中旬发现了该活动，并表示其针对能源、医疗保健、法律和制药组织。 

我们被告知服务器没有及时更新安全修复程序，从而允许不法分子利用例如ProxyShell系列漏洞来接管安装并发送恶意垃圾邮件。

Intezer 的 Joakim Kennedy 和 Ryan Robinson写道： “我们观察到的大多数原始 Exchange 服务器似乎也没有打补丁并且公开暴露，这使得 ProxyShell 矢量成为一个很好的理论。 ”

“虽然任何人都可以通过互联网访问大多数用于发送网络钓鱼电子邮件的 Exchange 服务器，但我们也看到在内部发送的网络钓鱼电子邮件似乎是一个‘内部’Exchange 服务器。” 

这个怎么运作

攻击始于一封网络钓鱼电子邮件，该电子邮件在附加的受密码保护的 .zip 存档中包含有关重要文档的消息，以及邮件正文中的密码。这通常是为了防止自动扫描仪看到 .zip 内部。

此外，不法分子使用对话或线程劫持来使电子邮件看起来更有说服力。这包括回顾服务器上的电子邮件链，并伪造对标记的回复，让他们认为这是一条合法消息。此回复似乎也来自标记正在与之交谈的人，使电子邮件看起来更加合法。正如安全公司指出的那样：

对话劫持的使用是一种强大的社会工程技术，可以提高网络钓鱼的成功率。

虽然较早的活动使用 Office 文档将恶意软件投放到受害者的计算机上，但这次 IcedID 活动使用带有 Windows LNK 快捷方式文件和动态链接库 (DLL) 的 ISO 文件。

LNK 文件看起来像一个文档，但当用户双击它时，它使用操作系统的 Regsvr32 工具来执行 DLL 文件，该文件解密并运行 IcedID。

威胁研究人员写道，使用 Regsvr32 可以帮助攻击者避免检测。这是一个用于注册和注销 DLL 和嵌入式控件的命令行程序。不法分子可以使用它来躲避防病毒工具和 IT 人员的注意，“因为使用 regsvr32.exe 进行正常操作的 Windows 允许列表或误报，”MITRE ATT&CK警告说。 

在这种情况下，该工具不用于正常操作，而是允许代理执行恶意代码。

在 Intezer 发现的一次尝试攻击中，加载程序代码通过一种称为 API 散列的技术在 .DLL 中定位加密的有效负载，如果成功，IcedID Gziploader 有效负载将被解码、放置在内存中并执行。研究人员解释说：“GZiploader 对机器进行指纹识别，并向命令和控制服务器发送信标，其中包含有关受感染主机的信息。” “信息是通过 HTTP GET 请求通过 cookie 标头走私的。”

在这个特定的分析中，命令和控制服务器确实响应了任何恶意命令。假设系统指纹表明不法分子感兴趣的系统，IcedID 将被指示执行进一步的操作，例如注入勒索软件、泄露数据或凭据等。

谁是新的 IcedID 活动的幕后黑手？

虽然 Intezer 没有在 IcedID 活动和标记为 TA551 的网络犯罪团伙之间划清界限，但分析确实注意到 Proofpoint 2021 年 6 月的一份报告，该报告强调了 TA577 和 TA551 倾向于使用 IcedID 作为其恶意软件。 

“TA551 使用的技术包括会话劫持和受密码 保护的 zip文件，”Intezer 的二人组解释说。“该组织还使用 regsvr32.exe 来执行恶意 DLL 的签名二进制代理。”

他们以文件的 SHA-256 哈希和命令和控制域名的形式引用了网络防御者的四个危害指标：

此外，由于此类攻击需要能够检测内存中恶意文件的安全工具，因此安全公司建议使用端点扫描仪。

乌克兰安全局 (SSU) 宣布，自与俄罗斯的战争开始以来，它已经发现并关闭了 5 个拥有超过 100,000 个虚假社交媒体账户传播虚假新闻的机器人农场。

该网络在哈尔科夫、切尔卡瑟、捷尔诺波尔和扎卡尔帕蒂亚运营，旨在通过散布有关俄罗斯入侵和捍卫者地位的虚假信息来阻止乌克兰公民并造成恐慌。

根据 SSU 的公告，该网络的目标是破坏各个地区的社会政治局势，从而遏制乌克兰民兵的抵抗。

乌克兰执法机构突袭了托管机器人农场的地点，并没收了以下物品：

100套GSM网关
10,000张SIM卡，供各种移动运营商伪装欺诈活动
用于控制和协调机器人的笔记本电脑和计算机

带有模拟不同用户 (SSU)的 SIM 卡的终端
该行动的归属指向俄罗斯特种部队，其成员已根据第 110 条（侵犯乌克兰的领土完整和不可侵犯性）面临刑事诉讼，但SSU 公告中未提及逮捕运营商。

拆除的农场之一（SSU）
乌克兰的网络机构运作,乌克兰服务器租用推荐
SSU 的网站在过去一个月中多次处于离线状态，并且由于该机构面临越来越大的挑战而不得不将其重点放在阻止军事入侵上。

尽管如此，乌克兰的网络机构至少在一定程度上仍在运作，并每天发布其活动公告，这一点值得注意且值得称道。

周六，文尼察地区的乌克兰网络警察宣布逮捕一名男子，该男子通过网络钓鱼链接入侵社交网络账户，并利用这些账户开展假弹药筹款活动。

今天，乌克兰的计算机应急响应小组宣布发现了一场网络钓鱼活动，大致归因于 UAC-0010（世界末日）俄罗斯威胁组织。

该活动使用据称包含有关乌克兰军人损失信息的文件诱饵来投放“PseudoSteel”恶意软件，该恶意软件使其操作员能够远程搜索本地文件并将其上传到 FTP 服务器。

乌克兰军队的所有这些侦查和镇压努力标志着战争的新时代，政府不能忽视恶意网络活动。
对于一个仍然主要在线的国家来说尤其如此，使用网络进行众包信息并与世界其他地方保持开放的数据交换渠道。

今天，3月28日，数字化转型部向俄罗斯移动运营商发出“排除无限流量消费”的建议，即引入无限资费计划限制，有效取消无限流量。此外，在马克苏特·沙达耶夫部长的信中，建议“合理减少”服务包的流量。

由于制裁有效地切断了俄罗斯与外国电信设备的联系，因此需要取消无限制并减少流量消耗。早些时候有报道称，由于缺乏设备和组件，运营商预计俄罗斯会出现通信故障。当前库存将持续六个月，之后由于负载的持续增加，网络可能开始出现故障。在这种情况下，减少流量会有所帮助。

在信中，数字发展部解释说，为确保执行俄罗斯联邦总统 3 月 16 日“关于确保俄罗斯社会经济稳定和保护人民的措施”的法令，需要采取拟议措施。它们应该有助于确保“俄罗斯通信网络的正常运行，以及俄罗斯通信基础设施的整体和可持续运行”，并将在网络上创造更均衡的负载。

“在外部制裁压力和外国设备供应减少的背景下，有必要在维护和发展移动网络方面找到平衡。我们正在采取措施合理消耗流量，同时保持基本数字服务和服务的质量和可用性，”数字发展部指出。

“在电信和计算设备供应存在客观困难的情况下，在负面情况下可能导致通信服务质量下降和网络稳定性下降，数字发展部的建议看起来理性和及时，”Megafon 向 RBC 解释道。MTS 和 Tele2 也有类似的看法。

市场参与者没有正式评论他们将如何执行数字发展部的建议。非正式地，据说无限关税将从昂贵的关税中移除，并且在套餐优惠中，只有当流量开始过度增长时才会减少。另外值得注意的是，移动运营商放弃无限上网的趋势早在几年前就出现了。

莫斯科 Tverskoy 法院禁止社交网络 Facebook *和 Instagram *被认为是俄罗斯极端分子的决定并不限制将这些平台用于非禁止活动。这在法院判决的动机部分中有所说明，该判决已发布在首都一般管辖法院的网站上。

“这些法律补救措施不限制不参与法律禁止活动的个人和法人实体使用 Meta *软件产品，”发布的消息说。还需要注意的是，法院判决不会影响Meta *拥有的WhatsApp Messenger 。

莫斯科 Tverskoy 法院承认 Meta *的活动是极端主义的，“在发布、分发和不采取措施阻止材料方面”，其作者呼吁使用暴力。在诉讼过程中，发现先前以罚款和封锁形式对上述社交网络采取的措施“明显不足且与侵犯俄罗斯联邦公民权利和利益不相称” ”。阻止决定的速度可以解释为“与公民安全有关的特殊情况以及对国家宪法秩序基础的威胁”。

回想一下，本月早些时候，俄罗斯的社交网络 Facebook *和 Instagram *的活动在检察长办公室的诉讼中被禁止。在会见中，检察官表示，“不以极端主义为目的”使用社交网络，包括通过绕过封锁的方式，不应被视为支持极端主义组织。俄罗斯vps租用

* 根据 2002 年 7 月 25 日第 114-FZ 号联邦法律“关于打击极端主义活动”的规定，被法院最终决定清算或禁止其活动的公共协会和宗教组织名单中"

在去年的队列联合学习 (FLoC) 实验表明需要进一步完善之后，谷歌正在为其据称是隐私保护的广告技术的最新迭代准备另一轮测试。

谷歌软件开发人员周五在致 Chromium 开发人员的单独 消息中宣布他们的“实验意图”，称该公司FLEDGE API及其主题 API的Origin Trials将在 3 月 31 日 Chrome 101 Beta 首次亮相后开始。预计测试将至少持续到三个月后的 Chrome 104 Beta。

FLEDGE 旨在实现再营销——根据之前在不同网站上的交互在网站上展示广告——取代FLoC的 Topics 旨在实现基于兴趣的广告。两者都渴望以不涉及在网络上跟踪个人的方式这样做，或者据说。

FLEDGE 致力于实现Turtledove，这是一个 API，用于促进针对兴趣群体的广告。出于隐私考虑，它将兴趣数据和关于展示哪个广告的决定从服务器端转移到客户端（浏览器）。

“主题 API 的目的是为调用者（包括页面上运行脚本的第三方广告技术或广告提供商）提供页面访问者当前可能感兴趣的粗粒度广告主题，”谷歌表示。

谷歌对 FLEDGE/Turtledove 的解释说，浏览器内广告方案“涉及浏览器运行从多方下载的不受信任的 JavaScript”，并概述了 API 为安全起见对执行环境施加限制的各种方式。

主题 API 还具有尚未完全解决的安全和隐私注意事项。

Google 对这些 API 进行试验的希望是证明 FLEDGE 和 Topics 既能保护隐私又能保护收入，而且是安全的。

从网络广告的早期开始，向使用网络浏览器的人展示广告就涉及到 cookie——由网络服务器代码代表网站发布者和附属第三方公司存放的文件。

由于这种方法带来的隐私问题变得明显并刺激了监管，并且随着谷歌的竞争对手做出改变以限制第三方 cookie 的使用，谷歌在 2019 年推出了隐私沙盒计划，以符合不断发展的方式重新设计其广告技术隐私规则并容忍隐私防御。比利时服务器租用

随着该项目的进行，谷歌在 2020 年 1 月宣布了“在两年内”逐步淘汰第三方 cookie 的计划，此后不久，这一承诺与限定符对冲。到去年年中，第三方 cookie 的淘汰已经滑到 2023 年底。

信任问题

谷歌面临的部分问题是，广告行业的竞争对手担心他们将在隐私沙盒中处于数据劣势，而他们的担忧已经传到美国、欧洲和英国的立法者和监管机构的耳中，而此时广告业务面临广泛的反垄断审查和诉讼。

结果是谷歌向英国竞争与市场管理局做出了一系列承诺，即它将与竞争对手协商设计其隐私沙盒系统。因此，现在这家在线广告巨头不得不与那些认为整个隐私推动将使他们处于不利地位的营销人员接触，而不是快速行动和打破常规。

谷歌还面临着来自像 Brave 等竞争对手的浏览器制造商的持续批评，他们认为其隐私沙盒只能改善从 Chrome 设置的侵入性基线衡量的隐私。Brave 隐私高级主管 Peter Snyder在 1 月份表示，Topics API很危险，因为它使 Google 成为了在与特定互联网用户相关的利益方面哪些数据“敏感”的仲裁者。

斯奈德警告说，FLEDGE 依赖于WebBundles，它打包了网络资源以供下载。他认为，它们构成了安全和隐私威胁，因为它们从全局命名空间中删除了资源，在那里它们可以被识别和阻止。内容阻止扩展无法阻止捆绑的资源，因为它们不知道要查找的文件名或字符串。

“任何关心真正隐私优先的 Web 的人都应该关注 Fledge 和 Topics API，”Snyder 在给The Register的电子邮件中说。“谷歌正试图在一个仍然有利于他们的基础设施和优势的课程上跟踪网络，然后其他人才能以更以用户为中心的方法推动事情。”

“大部分‘隐私沙盒’应该被理解为‘围绕谷歌的护城河’，谷歌正在推动在越来越多的网络请求中扮演直接或中介角色，因为他们知道他们几乎可以第一方访问每个网站（谷歌分析、AdWords、谷歌标签管理器、谷歌地图等）。

俄罗斯建立了一个旨在确保俄罗斯网络资源顺利运行的信息基础设施。为此，开发了国家认证中心的信息系统，确保使用俄罗斯和其他加密算法颁发 TLS 证书。

“我代表俄罗斯数字化转型部，在 Voskhod 研究所国家认证中心的基础上，俄罗斯网站所有者可以在不联系外国认证中心的情况下获得安全证书，这在制裁政策。任何法律实体或公共机构都可以免费获得一个或多个 TLS 证书并将其嵌入到他们的信息资源中。您可以在五个工作日内通过公共服务门户在线获得证书，”代理评论这个问题。FGAU 研究所“Voskhod”Maxim Rymar 的主任。

回想一下，TLS 和 SSL 证书用于在用户浏览器和 Web 资源之间提供安全的 HTTPS 连接。这种方法允许您保护传输的数据不被拦截和替换。此外，在没有安全证书的情况下，许多浏览器会自动阻止对 Web 资源的访问。目前，Yandex.Browser 和 Atom 浏览器支持俄罗斯安全证书。至于俄罗斯联邦数字发展部的国家认证中心，它是作为执行俄罗斯总统指示的一部分而创建的，以确保互联网俄罗斯部分设备的稳定交互。

黑客正在入侵 WordPress 网站以插入一个恶意脚本，该脚本使用访问者的浏览器对乌克兰网站执行分布式拒绝服务攻击。

今天，MalwareHunterTeam 发现了一个 WordPress 站点被入侵以使用该脚本，针对 10 个具有分布式拒绝服务 (DDoS) 攻击的网站。
这些网站包括乌克兰政府机构、智囊团、乌克兰国际国防军招募网站、金融网站和其他亲乌克兰网站

目标网站的完整列表如下：

https://stop-russian-desinformation.near.page
https://gfsis.org/
http://93.79.82.132/
http://195.66.140.252/
https://kordon.io/
https://war.ukraine.ua/
https://www.fightforua.org/
https://bank.gov.ua/
https://liqpay.ua
https://edmo.eu

加载后，JavaScript 将强制访问者的浏览器对列出的每个站点执行 HTTP GET 请求，一次不超过 1,000 个并发连接。

DDoS 攻击将在用户不知道发生的情况下在后台发生，除了浏览器速度变慢。

这允许脚本执行 DDoS 攻击，而访问者不知道他们的浏览器已被选中进行攻击。

对目标网站的每个请求都将使用随机查询字符串，这样请求就不会通过缓存服务（如 Cloudflare 或 Akamai）提供服务，而是直接由被攻击的服务器接收。

例如，DDoS 脚本将在 Web 服务器的访问日志中生成如下请求：

"GET /?17.650025158868488 HTTP/1.1"
"GET /?932.8529889504794 HTTP/1.1"
"GET /?71.59119445542395 HTTP/1.1"

BleepingComputer 只能找到少数感染此 DDoS 脚本的站点。然而，开发人员 Andrii Savchenko 表示，数百个 WordPress 网站被入侵以进行这些攻击。

“实际上大约有数百个。所有通过 WP 漏洞。不幸的是，许多提供商/所有者没有反应，”   Savchenko发推文。

在研究该脚本以查找其他受感染站点时，BleepingComputer 发现亲乌克兰站点 https://stop-russian-desinformation.near.page 正在使用相同的脚本，该脚本用于对俄罗斯网站进行攻击。

在访问该网站时，用户的浏览器被用于对 67 个俄罗斯网站进行 DDoS 攻击。

虽然该网站明确表示将使用访问者的浏览器对俄罗斯网站进行 DDoS 攻击，但受感染的 WordPress 网站在网站所有者或其访问者不知情的情况下使用脚本。

Microsoft 已发布适用于 Windows 11 的可选 KB5011563 累积更新预览，其中修复了触发蓝屏死机 (BSOD) 和其他问题的停止错误。

此预览更新是微软计划于 2022 年 3 月每月更新的“C”更新的一部分，允许 Windows 11 用户测试即将在 4 月 12 日发布的修复，作为下个月补丁星期二的一部分。

与常规补丁星期二 Windows 更新不同，预定的“C”非安全预览版本是可选的。它们仅用于在正式发布之前测试错误修复和性能改进，因此它们不提供安全更新。

要安装 KB5011563 更新，您必须转到“设置” > “ Windows 更新”并手动“检查更新”。由于它是可选更新，Windows 不会安装它，直到您单击“立即下载”按钮。

您还可以从Microsoft 更新目录手动下载并安装本月的 Windows 11 累积更新预览。

蓝屏修复等
如开头所述，今天的 Windows 11 可选更新亮点是针对 DirectX 和 SMB 服务器中的停止错误触发的两个 BSOD 的修复。

正如微软解释的那样，KB5011563“解决了 DirectX 内核组件中的停止错误（0xD1，DRIVER_IRQL_NOT_LESS_OR_EQUAL）”和另一个“导致 SMB 服务器（srv2.sys）中的停止错误 0x1E”的问题。

该更新还增加了对同时显示最多三个高优先级 Toast 通知的支持，该功能专为使用 Windows 通知发送呼叫、提醒或警报通知的应用程序而设计。

它还修复了可能导致 Microsoft OneDrive 文件在重命名并按 Enter 键后失去焦点的问题。

部署 KB5011563 后，Windows 11 在搜索“widgets”一词时会返回相应的设置页面。

Windows 11 KB5011563 更新中的新增功能
安装今天的非安全累积更新预览后，Windows 11 的内部版本号将更改为22000.593。

Windows 11 KB5011563 累积更新预览包括26 项质量改进和修复，包括：

解决了导致 SystemSettings.exe 停止工作的问题。

解决了增加 Windows 启动时间的问题。出现此问题的原因是，当 5G 无线广域网 (WWAN) 设备唤醒缓慢时，网络 API 中的 UI 线程停止响应。

解决了可能导致 Kerberos.dll 在本地安全机构子系统服务 (LSASS) 中停止工作的问题。当 LSASS 为同一客户端用户同时处理用户服务 (S4U) 用户到用户 (U2U) 请求时，就会发生这种情况。

安全硬件制造商 SonicWall 已修复 SonicOS 安全操作系统中的一个严重漏洞，该漏洞允许拒绝服务 (DoS) 攻击并可能导致远程代码执行 (RCE)。

该安全漏洞是一个基于堆栈的缓冲区溢出漏洞，CVSS 严重性评分为 9.4，影响多个 SonicWall 防火墙。

该漏洞被跟踪为CVE-2022-22274，影响面向中小型企业 (SMB) 的 TZ 系列入门级台式机外形下一代防火墙 (NGFW)、旨在保护网络安全的网络安全虚拟 (NSv 系列) 防火墙。云和网络安全服务平台 (NSsp) 高端防火墙。

无需身份验证即可远程利用

未经身份验证的攻击者可以通过 HTTP 请求远程利用该漏洞，在不需要用户交互的低复杂度攻击中“导致拒绝服务 (DoS) 或可能导致防火墙中的代码执行”。

SonicWall 产品安全事件响应小组 (PSIRT) 表示，没有关于公共概念证明 (PoC) 漏洞利用的报告，并且没有发现攻击中的漏洞利用证据。

该公司已为所有受影响的 SonicOS 版本和防火墙发布了补丁，并敦促客户更新所有受影响的产品。

“SonicWall 强烈敦促使用下面列出的受影响 SonicWall 防火墙的组织遵循提供的指导，”该公司在周五发布的安全公告中表示。

NSsp 15700 防火墙没有补丁

唯一一个仍在等待针对 CVE-2022-22274 补丁的受影响防火墙是 NSsp 15700 企业级高速防火墙。

SonicWall 估计，用于阻止针对 NSsp 15700 防火墙的潜在攻击的安全更新将在大约两周内发布。

“对于 NSsp 15700，请继续进行临时缓解以避免利用或联系 SonicWall 支持团队，他们可以为您提供修补程序固件 (7.0.1-5030-HF-R844)，”该公司解释说。

“SonicWall 预计将于 2022 年 4 月中旬推出带有 NSsp15700 必要补丁的官方固件版本。”

可用的临时解决方法

SonicWall 还提供了一种临时解决方法来删除无法立即修补的系统上的利用向量。

正如安全供应商所解释的那样，管理员只需要允许受信任的来源访问 SonicOS 管理界面。

“在可以应用 [..] 补丁之前，SonicWall PSIRT 强烈建议管理员通过修改现有的 SonicOS 管理访问规则（SSH/HTTPS/ HTTP 管理），”该公司补充道。

SonicWall 补充说，更新的访问规则将确保受影响的设备“仅允许来自受信任的源 IP 地址的管理访问”。

SonicWall 支持网站为客户提供有关如何限制管理员访问的更多信息以及何时允许访问防火墙的 Web 管理界面的提示。

据报道，SunCrypt 是一种勒索软件即服务 (RaaS) 操作，它在 2020 年中期取得了显著成就，尽管它的运营商继续努力为其应变提供新功能，但它仍然活跃，即使只是勉强进行。

SunCrypt 是三重勒索的早期先驱之一，包括文件加密、发布被盗数据的威胁以及针对非付费受害者的 DDoS（分布式拒绝服务）攻击。

尽管如此，并且联盟计划中缺乏有道德意识的目标限制，但 SunCrypt 未能发展到比一个封闭的附属圈子的小型私人 RaaS 更大。

根据Minerva Labs的一份报告，这种停滞并没有阻止恶意软件作者开发一种新的、更好的版本，分析师对其进行分析以确定发生了什么变化。

新的 SunCrypt 功能
2022 SunCrypt 变种的新功能包括进程终止、停止服务和清除机器以执行勒索软件。

这些功能在其他勒索软件中早已存在，但对于 SunCrypt，它们是最近才添加的。正如 Minerva 评论的那样，这使它看起来仍处于早期开发阶段。

进程终止包括资源密集型进程，这些进程可以阻止对打开的数据文件进行加密，例如写字板（文档）、SQLWriter（数据库）和 Outlook（电子邮件）。

清理功能在加密例程结束时激活，使用两个 API 调用来擦除所有日志。虽然一个就足够了，但作者可能使用了两个作为冗余。清除所有日志后，勒索软件会使用 cmd.exe 从磁盘中删除自身。

清除事件日志的 API 调用 (Minerva)
最新版本中保留的重要 旧功能 之一是使用 I/O 完成端口通过进程线程更快地加密。

此外，SunCrypt 继续对本地卷和网络共享进行加密，并且仍然为 Windows 目录、boot.ini、dll 文件、回收站和其他在加密后会使计算机无法运行的项目维护一个允许列表。

SunCrypt (Minerva)使用的最新赎金票据
活动与展望
根据提交给 ID Ransomware 的统计数据，它提供了勒索软件应变活动的一个好主意，SunCrypt 仍在加密受害者，但似乎活动有限。

SunCrypt 在 ID 勒索软件上的提交

该组织可能针对高价值实体并将赎金支付谈判保密，而不是引起执法部门的注意和媒体报道。

Minerva 提到 Migros 是 SunCrypt 最近的受害者之一，这是瑞士最大的连锁超市，员工人数超过 100,000。

综上所述，SunCrypt 无疑是一个尚未破解的真正威胁，但 RaaS 是否会成长为更重要的东西还有待观察。