2018 年 7 月，腾讯安全御见威胁情报中心首次监测到Agwl网络犯罪团伙入侵某互娱公司手游官网服务器； 2019 年 1 月以来，Agwl团伙日渐活跃，呈小幅度爆发趋势，针对phpStudy网站服务器批量植入大量挖矿木马，并通过对其网站使用的默认MySQL弱口令进行爆破攻击，得手后植入挖矿以及远控木马。

近期，腾讯安全御见威胁情报中心再次监测捕捉到Agwl团伙的踪迹，此次入侵行动中首次将Linux系统纳入攻击范围，入侵后会下载运行挖矿脚本、DDoS病毒及勒索病毒。目前，腾讯御点终端安全管理系统已对该恶意行为进行全面拦截并查杀。

与其他勒索病毒不同的是，Agwl团伙爆破登录成功后并不会先加密数据再勒索酬金，而是在攻击成功后直接“撕票”删库，再向受害企业用户发送勒索消息骗取赎金。企业一旦中招，不仅数据拿不回来，还可能被骗取赎金，“数”财两空。同时，勒索病毒还会发动挖矿攻击，通过C2 获取攻击目标IP段，扫描VNC、Rsync、MySQL等服务器进行爆破攻击，最终通过shell下载挖矿木马挖取门罗币。

(图: Agwl团伙门罗币钱包收益量)

通过与之前的攻击活动进行对比分析，腾讯安全技术专家指出，在此次恶意攻击事件中，不法黑客使用的爆破工具加密方式与 1 月份发现的挖矿木马样本保持一致。攻击者入侵成功后加入基于Linux系统执行的bash脚本代码s667，并进一步下载挖矿木马，随后继续植入DDoS病毒以及勒索蠕虫病毒，对服务器进行爆破。