Криптовируси

  • Водещ IoT производител е ударен от криптовирус

    Рансъмуер атака спря дейността на водещия IoT (интернет на нещата) производител Sierra Wireless. Засегнати са ИТ системите на компанията и производствения процес. Към момента на публикуване на тази новина, уеб сайтът не е достъпен.

    https://www.sierrawireless.com/

     

    Компанията създава широк спектър от комуникационно оборудване – шлюзове, рутери, клетъчни модеми, модули и интелигентни решения за свързване за IoT устройства.

    Не се разкрива как е стартирала атаката и дали са засегнати данни на клиенти.

  • Криптовирус атакува Microsoft Exchange с експлойти на ProxyLogon

    След като стана известно, че хакери са използвали zero-day уязвимости, за да компрометират Microsoft Exchange сървъри, ежедневно научаваме за нови експлоатации.

    Предупрежденията на изследователите по киберсигурност, че хакът ще отвори вратата за атаки с криптовируси, се сбъдна: Засечен е нов рансъмуер, наречен „DearCry“, който атакува Microsoft Exchange с експлойти на ProxyLogon.

    Атаката се разпространява

    До момента киберспециалистите са открили жертви на криптовируса в САЩ, Люксембург, Индонезия, Ирландия, Индия и Германия.

    Детекторите на доставчиците на антивирусен софтуер са засекли множество разновидности на DearCry:

    • Ransomware/Win.DoejoCrypt [AhnLab]
    • Win32/Filecoder.DearCry.A [ESET]
    • Trojan-Ransom.DearCry.B [GDATA]
    • Ransom-DearCry [McAfee]
    • Ransom:Win32/DoejoCrypt.A [Microsoft]
    • DearCry [Rising]
    • Ransom/W32.DearCry [TACHYON]
    • Win32.DEARCRY [TrendMicro]
    • Ransomware.Dearcry [Webroot]

    Как DearCry криптира компютрите

    Проба от рансъмуера, анализирана от BleepingComputer, включва следния PDB път: C:\Users\john\Documents\Visual Studio 2008\Projects\EncryptFile -svcV2\Release\EncryptFile.exe.pdb

    Когато бъде стартиран, DearCry създава Windows услуга с име „msupdate“, която започва да криптира файлове със следните разширения:

    .TIF .TIFF .PDF .XLS .XLSX .XLTM .PS .PPS .PPT .PPTX .DOC .DOCX .LOG .MSG .RTF .TEX .TXT .CAD .WPS .EML .INI .CSS .HTM .HTML .XHTML .JS .JSP .PHP .KEYCHAIN .PEM .SQL .APK .APP .BAT .CGI .ASPX .CER .CFM .C .CPP .GO .CONFIG .PL .PY .DWG .XML .JPG .BMP .PNG .EXE .DLL .CAD .AVI .H.CSV .DAT .ISO .PST .PGD .7Z .RAR .ZIP .ZIPX .TAR .PDB .BIN .DB .MDB .MDF .BAK .LOG .EDB .STM .DBF .ORA .GPG .EDB .MFS

    Криптираните файлове получават допълнително разширение .CRYPT:

    Файлове, криптирани от DearCry
    Файлове, криптирани от DearCry

    Рансъмуерът използва AES-256 за криптиране на файловете и публичен ключ RSA-2048 за криптиране на AES. Също така добавя „DEARCRY!“ низ в началото на всеки заключен файл:

    Криптиран файл, маркиран от DearCry
    Криптиран файл, маркиран от DearCry

    След като приключи с криптирането на компютъра, рансъмуерът създава бележка за откуп с име „readme.txt“ на работния плот на Windows:

    Бележка за откуп от DearCry
    Бележка за откуп от DearCry

    Пачнахте ли Microsoft Exchange сървърите си

    Фирмата за киберсигурност Palo Alto Networks съобщава, че десетки хиляди Microsoft Exchange сървъри са ъпдейтнати в рамките на няколко дни. Съществуват обаче около 80 хил. по-стари сървъра, които не могат директно да приложат последните актуализации на защитата.

    Прочетете още: Над 61% от всички Microsoft Exchange Server не са пачнати срещу активно експлоатирана уязвимост

    Организациите, които използват Exchange, трябва да имат едно на ум, че може да са били компрометирани, преди да закърпят системите си. Все пак знаем, че хакерите са експлоатирали zero-day уязвимостите „in the wild“ в продължение на поне два месеца преди Microsoft да пусне корекциите на 2 март 2021 г.

    Препоръки

    Приложете корекциите незабавно и създайте офлайн резервни копия на своите Exchange сървъри. Не само за да защитите пощенските си кутии от кражба, но и за да предотвратите тяхното криптиране.

    Не неглижирайте и възможността в инфраструктурата ви вече да „живее“ недоброжелател – разгледайте и приложете стъпките, които Microsoft препоръчва за смекчаване на последиците:

  • Maze Ransomware – криптира и изнудва: Коварен враг, от когото ще ви помогнем да се предпазите

    Последен ъпдейт на 18 декември 2020 в 08:08 ч.

    През 2020 семейството на криптовируса Maze придоби печална известност, застрашавайки бизнеса на десетки организации. Сред жертвите на зловредния софтуер са LG, Xerox, Southwire и град Пенсакола.

    Целта ни е да ви запознаем по-подробно с този опасен и многолик криптовирус, за да можете да изградите по-добре вашата защита.

    В никакъв случай не подценявайте криптоатаките. Освен че могат да ви откраднат ценна информация, могат да ви изнудват за пари и чрез публикуването й или продажбата й на конкуренти. И в двата случая може да се стигне до загуба на репутация, влошаване на бизнес отношения, огромни финансови загуби, а и глоба по GDPR.

    Млад, но амбициозен ransomware

    За Maze чухме едва през първата половина на 2019 г. По това време той дори нямаше ясно изразена следа (ransomware note). Наречен е от изследователите „ChaCha ransomware“, защото съдържа в заглавието си „0010 System Failure 0010“.

    Една от първите бележки за откуп (Ransom note) на Maze/ChaCha
    Една от първите бележки за откуп (Ransom note) на Maze/ChaCha

    Много скоро новите версии започнаха да се наричат ​​Maze. Злонамерените лица зад криптовируса създадоха сайт, който да „подпомага“ техните жертви в плащането на откуп за декриптиране на файловете им.

    Уебсайтът, използван от скорошна версия на Maze
    Уебсайтът, използван от скорошна версия на Maze

    Разпространява се чрез спам / фишинг кампании

    Тактиката за разпространение на Maze първоначално включва заразяване чрез експлойт комплекти (Fallout EK и Spelevo EK) и спам със злонамерени прикачени файлове.

    Пример за фишинг имейл с прикачен зловреден файл
    Пример за фишинг имейл с прикачен зловреден файл

    Когато получателят отвори прикачения документ, той бива подканен да активира режима за редактиране (Enable Edit) и съдържанието (Enable Content). Ако потребителя се подлъже и избере тези опции, злонамереният макрос, съдържащ се в документа, се изпълнява и заразява компютъра на жертвата с Maze.

    Maze-ransomware-enable-content

    Персонализиран подход

    За кратко време Maze започна да прилага индивидуален подход при атаките на корпорации и държавни организации, за да е по-успешен и да увеличи печалбите си от изнудване.

    Някои атаки стартират с  таргетиран фишинг и завършват с инсталиране на Cobalt Strike RAT, докато в други случаи пробивът на мрежата е резултат от експлоатация на уязвима интернет услуга (напр. Citrix ADC / Netscaler или Pulse Secure VPN). Слабите пароли за достъп до RDP на машини, достъпни от интернет, са друг недостатък, който Maze използва.

    Рансъмуерът прилага различни тактики при ескалация на привилегии, разузнаване и компрометиране на други машини в мрежата (т.нар. Lateral Movement). Използва инструменти като mimikatz, procdump, Cobalt Strike, Advanced IP Scanner, Bloodhound, PowerSploit.

    По време на тези междинни етапи, злонамерените лица се опитват да локализират ценна информация, която може да се съхранява на сървърите и работните станции в компрометираната мрежа. След това те източват поверителните файлове на жертвата, за да ги използват за договаряне на откуп.

    На финала Maze се инсталира на всички машини, до които злонамерените лица имат достъп. Следва криптиране на ценните данни на жертвата, с което работата на криптовируса е свършена.

    Изтичане на информация / Изнудване

    Това, с което нашумя Maze е, че утвърди нова тенденция при криптовирусите. Те започнаха да заплашват да разкрият поверителните данни на жертвите си ако те откажат да платят откуп. Този подход се оказа много доходоносен за престъпниците и започна да се използва от редица престъпни групи, занимаващи се с криптовируси – REvil/Sodinokibi, DoppelPaymer, JSWorm/Nemty/Nefilim, RagnarLocker, Snatch .

    Авторите на Maze поддържат и уебсайт, където изброяват последните си жертви и публикуват частично или изцяло (в случай на отказ да се плати откуп) извлечената информация.

    Уебсайт с изтекли данни на жертвите, публикувани от злонамерените лица зад Maze
    Уебсайт с изтекли данни на жертвите, публикувани от злонамерените лица зад Maze

    „Картел за изнудване“

    През юни 2020 г. Maze се обедини с LockBit и RagnarLocker и образува „картел за изнудване“.  Данните, откраднати от тези групи се публикуват в блога, поддържан от злонамерените лица зад Maze.

    Изглежда, че престъпниците споделят помежду си не само хостинг на ексфилтрирани документи, но и опита си от компрометиране на различни инфраструктури. За това говори фактът, че Maze започна да използва техники, които преди това се използваха само от RagnarLocker.

    Кратък технически преглед на Maze

    Криптовирусът Maze обикновено се разпространява като обфускиран PE файл (EXE или DLL), написан на C/ C++. Той използва най-различни похвати, за да избегне статичен и динамичен анализ. Например, динамично импортване на API функции е само един от похватите за избягване на статичен анализ, а за да избегне динамичния – Maze убива процеси, които често се използват от специалистите по информационна сигурност – procmon, procexp, ida, x32dbg и др.

    Криптографската схема на Maze се състои от няколко нива:

    1. За да шифрова съдържанието на файловете на жертвата, троянският кон генерира уникални ключове и nonce стойности, които да се използват с поточния шифър ChaCha
    2. Ключовете ChaCha и стойностите nonce са криптирани от публичен RSA-2048-битов ключ, който се генерира при стартиране на зловредния софтуер
    3. Частният RSA-2048-битов ключ на сесията е криптиран от публичния RSA-2048, който се кодира в тялото на троянския кон

    Схемата е вариация на типичен подход, използван от разработчиците на съвременен рансъмуер. Тя позволява на операторите да пазят своя частен RSA ключ в тайна, когато продават декриптори за всяка отделна жертва, а също така гарантира, че декриптор, закупен от една жертва, няма да помогне на друга.

    Когато бъде изпълнен на една машина, рансъмуерът Maze ще иска да определи какъв компютър е заразил. Той се опитва да прави разлика между различни видове системи – сървър за съхранение на резервни копия (backup server), домейн контролер (domain controller), сървър без централизирано управление/AD (standalone server) и др. Използвайки тази информация в бележката за откуп, троянецът има за цел допълнително да изплаши жертвите и да ги накара да си мислят, че престъпниците знаят всичко за засегнатата мрежа.

    Стрингове, които Maze използва, за да генерира ransomware note
    Стрингове, които Maze използва, за да генерира ransomware note

     

    Фрагмент от процедурата, която генерира бележка за откуп
    Фрагмент от процедурата, която генерира бележка за откуп

    Как да се предпазим от заразяване с Maze (или други криптовируси)?

    Рансъмуерът се развива всеки ден и атаките стават по-мащабни и разрушителни. Това означава, че вашата защита трябва да бъде подготвена да издържи на всеки един етап от атаката.

    Няма един единствен метод, чрез който да се предпазите, а трябва да следвате добрите практики в информационната сигурност, част от които са :

  • Хакнат Facebook акаунт е използван за изнудване на жертва на рансъмуерa Ragnar Locker

    В началото на ноември 2020 г. стана известно, че рансъмуерът Ragnar Locker е хакнал италианската компания за алкохолни напитки Campari Group. Производителят на Aperol, Campari, Cincano и много други съобщи, че не е напълно изключено да са откраднати някои лични и бизнес данни.

    Престъпната група зад Ragnar Locker отговори на изявлението, като пусна във Facebook рекламна кампания, гласяща: „Това е нелепо и изглежда като голяма дебела лъжа“. Хакерите разкриват, че откраднатото от Campari Group е всъщност 2 TB чувствителни данни, а поисканият откуп е 15 млн. USD в биткойн.

    Самата кампания е проведена през компрометиран Facebook акаунт. Достигнала е до над 7 хил. потребители на Facebook и е генерирала 770 кликания. Титулярът на хакнатия акаунт е споделил, че единствено за него не е приложил многофакторна автентикация (MFA).

    Случилото се показва, че някои групи криптовируси са станали особено агресивни в последно време, притискайки жертвите си да платят.

    От Facebook разследват дали става дума за изолиран инцидент или измамниците провеждат кампании и през други хакнати акаунти в социалната мрежа.

    Препоръка:

    За да предпазите собствените си лични данни, използвайте многофакторна автентикация навсякъде, където това е възможно.

  • Хакери използват Google Drive за заразяване на болници с ransomware

    Злонамерени линкове към документи в Google Drive са били изпратени по имейл до множество американски здравни заведения във фишинг кампания. Кликането върху връзките е станало причина за заразяване на получателите с Ryuk ransomware. Атаката е затруднила засегнатите центрове да предоставят адекватни здравни грижи на пациентите си.

    Sophos сигнализира, че Ryuk използва заразени документи на Google Drive, за да достави първоначалния си зловреден софтуер. Хакерите разчитат, че винаги ще се намери служител, който да кликне върху злонамерения линк и да активира кибератаката.Анализаторите отчитат, че Ryuk е отговорен за една трета от всички атаки с рансъмуер от началото на 2020 г.

    В края на октомври 2020 г. Microsoft, ФБР, Министерството на здравеопазването и социалните услуги и Министерството на вътрешната сигурност на САЩ съвместно издадоха поредното предупреждение за случващото се. Те сигнализираха, че ransomware е все по-агресивен към болници и други здравни организации.

  • Медицински център в Охайо спря работа след поредния киберинцидент в здравния сектор

    Инцидент с киберсигурността спря работата на медицински център в Охайо за няколко дни и принуди клиниката да отложи планираните процедури на пациенти.

    От Ashtabula County Medical Center (болнично заведение с над 200 легла) не посочват естеството на инцидента, но се предполага, че става дума за ransomware атака.

    Нарастващата зависимост на здравните заведения от информационните технологии, заедно с напрежението върху ресурсите, дължащо се на пандемията на коронавируса, направиха сектора уязвим от хакерски атаки. По-рано този месец пациент в Германия е починал след като е бил отпратен от болница, пострадала от поредната криптоатака.

    От началото на 2020 г. международни организации периодично предупреждават за увеличаване на броя на ransomware-атаки (тук и тук) срещу болнични заведения. За съжаление, също толкова често научаваме и за поредната жертва (тук и тук).

  • Хакерската група REvil депозира 1 млн. USD за набиране на хакери

    Спомняте ли си „бизнес-ориентирания“ модел на ransomware-групата REvil (Sodinokibi), чието развитие следим отдавна? Наскоро „семейството“ е депозирало 1 млн. USD (всъщност, равностойността им в биткойни) в  рускоезичен хакерски форум, за да демонстрира пред потенциални сътрудници, които иска да набере, че има сериозни намерения за развитието си.

    Както във всяка бизнес сфера, изглежда, че и разработката на криптовируси също следва икономическата логика и разделение на труда: едни хора (разработчици) отговарят за създаването на ransomware, а други (сътрудници) – хакват организациите и криптират устройствата им. При това се твърди, че последните получават до 80% от акумулираните откупи за декриптиране.

    Публично депозираната от REvil сума илюстрира колко пари генерират създателите на ransomware. За съжаление, докато жертвите не престанат да плащат многомилионни откупи, този вид киберпрестъпления ще продължат и участниците в  тях ще стават все по-богати.

  • Четирите най-големи корабни компании в света са засегнати от кибератаки

    Последен ъпдейт на 2 октомври 2020 в 11:23 ч.

    Четирите най-големи морски корабоплавателни компании в света (CMA CGM, APM-Maersk, Средиземноморска корабоплавателна компания и COSCO) са били засегнати от атака с криптовируси в периода от 2017 г. насам.

    Това е първият случай досега, в който Голямата четворка в даден сектор на индустрията претърпява последователно големи кибератаки. Въпреки че инцидентите са различни, те показват преференциално насочване към морската индустрия. През последните 4 години жертви са ставали кораби, базираните на брега системи на корабните компании и  най-често – приложенията за резервация на контейнери.

    Свидетели сме на вълна от криптоатаки срещу корпоративни гиганти, опериращи в различни сфери на бизнеса и логично си задаваме въпроса: Дали „кибер-пиратите“ не са се насочили към криптирането на цяла индустрия, така че да повишат многократно шансовете си за получаване на откуп?

  • Собственикът на Ray-Ban е поредната корпоративна жертва на криптовирус (ransomware)

    Собственикът на Ray-Ban – компанията Luxottica, най-веротяно е станал жертва на атака с криптовирус, която е засегнала италианското и китайското поделение на корпорацията.

    Самата компания все още не е коментирала проблема, но според BleepingComputer, клиенти са съобщили  за спиране на уебсайтовете на Ray-Ban, Sunglass Hut, LensCrafters, EyeMed и Pearle Vision.

    Засега няма данни за откраднати или изтекли данни, а към 24-ти септември всички засегнати сайтове изглежда са възобновили работа, без следи от инцидента.

    Luxottica е поредната мултинационална компания в списъка с жертви на криптоатаки, след Garmin, Enel, Honda и др., за които съобщаваме през изминалите няколко месеца.

  • 457 хил. USD: цената данните ви да останат конфиденциални (евентуално) след кражбата им

    457 хил. USD. Толкова е откупът, платен от Университетът на Юта (САЩ), за да остане (евентуално) конфиденциална източена от образователната институция информация.

    Кражбата на данните е станала след зараза с модерното вече поколение криптовируси, които първи източват информацията от заразените устройства, след което я криптират. Така хакерите искат два откупа – един за декриптирането и един за непубликуването на откраднатите данни.

    Сериозната сума е била платена за сметка на действаща киберзастраховката. Засегнатите лица са предупредени да следят своята кредитна история за измамна дейност и да променят всички пароли, които използват онлайн.

Back to top button