Криптовируси

  • Нова тактика: ransomware се крие от антивирусната защита с виртуална машина

    Втора значима нова тактика в разпространението и прикриването на криптовируси (ransomware) от началото на 2020 г. налагат създателите на RagnarLocker. Те използват Oracle VirtualBox със заредена виртуална машина Windows XP, за да скрият своето присъствие от наличния антивирусен софтуер.

    С инсталирането на Oracle VirtualBox, авторите на зловредния код стартират виртуална машина на инфектираните компютри. Така криптовирусът се изпълнява в „защитена, контролирана среда“, която е извън обсега на антивирусния софтуер, работещ върху физическата (хост) машина .

    Прочетете още: Нов вид криптовируси: крадат и изнудват

    Този интересен подход бе забелязан и подробно описан от британската фирма за киберсигурност Sophos и показва креативността и големите усилия, на които са способни хакерските групи, за да останат незабелязани, докато инфектират своята жертва.

    Какво е RagnarLocker?

    Идеята зад прикриване на присъствието е от критично значение за RagnarLocker. Те не са просто типичната хакерска групировка, която криптира всеки и каквото им попадне. Те внимателно подбират своите жертви, като избягват крайни потребители и се целят единствено в корпоративни и държавни организации.

    Според Sophos, основните техники за подбор на жертвите от страна на RagnarLocker са се състояли в компрометиране на отворен RDP порт на ниво работна станция и компрометиране на инструменти, използвани от MSP (Managed Service Providers). По този начин хакерите си осигуряват достъп до вътрешните мрежи и ресурси на засегнатата компания.

    Веднъж придобила достъп до вътрешната мрежа, групировката пуска конкретна версия на своя криптовирус. Тя варира и е специфична за всяка една жертва. След заразата, RagnarLocker изискват огромна сума за декриптирането на информацията в размер на десетки или стотици хиляди американски долари.

    Тъй като всяка една от тези внимателно планирани атаки представлява шанс за спечелване на огромна суми пари, RagnarLocker основно залагат на оставането им под прикритие в засегнатите мрежи. Това е и причината за създаването на този хитър „фокус“, чрез който да избегнат засичането от антивирусен софтуер.

    Магията с виртуалната машина

    Т.нар. „фокус“ всъщност е много прост, но, същевременно, хитър подход.

    Вместо да стартират криптовируса директно на компютъра-жертва, от RagnarLocker свалят и инсталират Oracle VirtualBox, широкоразпространен софтуер за виртуализация.

    Те конфигурират виртуалната машина, като ѝ задават пълен достъп до всички локални и споделени папки и локации и по този начин ѝ осигуряват права за манипулиране на файлове, които се съхраняват извън нейния локален диск.

    Следващата стъпка се състои в стартиране на виртуалната машина, като за целта се стартира орязана версия на Windows XP SP3, наречена MicroXP v0.82.

    Последната фаза на атаката е да се зареди криптовируса във виртуалната машина и да се изпълни. Тъй като кодът работи в самата виртуална машина, антивирусният софтуер няма да открие злонамерения процес.

    От гледна точка на антивирусния софтуер, файловете намиращи се на локалната файлова система, както и тези на споделените папки, изведнъж ще бъдат подменени с техните криптирани версии, а всички модификации на тези файлове ще идват от легитимен процес – а именно програмата VirtualBox.

    За повече информация препоръчваме да прочетете детайлния репорт на Sophos, който освен криптовируса RagnarLocker, разглежда и техниката с виртуалната машина.

  • Най-големият частен оператор на болнични услуги в Европa стана жертва на ransomware

    Криптовирус стана причина за временно забавяне на работата на най-големия европейски частен болничен оператор и основен доставчик на диализни продукти и услуги Fresenius.

    Атаката е засегнала едно от четирите подразделения на организацията – Fresenius Kabi (доставчик на медикаменти и медицински устройства). Компанията все още се бори с последиците от заразата, уведомила е разследващите органи и продължава да полага грижи за своите пациенти. Няма официална информация за използвания зловреден код и дали е поискан откуп.

    Как е осъществена атаката

    Според блога за информационна сигурност KrebsOnSecurity Fresenius е засегната от Snake Ransomware. Зловредният код е използван за атаки предимно срещу големи организации. Той взима за „заложници” ИТ системите и данните им в замяна на плащане на откуп под формата на криптовалути.

    Атаката срещу Fresenius идва на фона на все по-целенасочени атаки срещу доставчици на здравни услуги на първа линия за реагиране на пандемията COVID-19, за която предупреди Интерпол през април.

    През изминалата седмица предупреждения за зачестили ransomware-атаки, насочени към организации, работещи в областта на здравеопазването, оповестиха и Агенцията за кибер- и инфраструктурна сигурност на САЩ (CISA) и Националният център за киберсигурност на Великобритания.

    В сигналите се споменава, че пандемията вероятно предизвика допълнителен интерес у киберпрестъпниците да събират информация, свързана с COVID-19, например разузнавателна информация за националната и международната политика в областта на здравеопазването или чувствителни данни за изследвания, свързани с COVID-19.

    Организирано средство за изнудване

    Доскоро подобни ransomware-атаки бяха смятани за единични нападения с цел получаване на откуп. Напоследък обаче те се превръщат в основна причина за изтичане на данните на редица организации, станали тяхна жертва. Според Лорънс Ейбрамс (Bleeping Computer) атаката срещу Fresenius вероятно е част от по-мащабна Snake Ransomware кампания, която набира голяма скорост през последната седмица.

    Прочетете и: Екраните почерняваха един след друг… Или неразказната история на NotPetya

    Базирана в Германия група Fresenius включва четири независими компании, работещи в различни критични сфери на здравеопазването, с близо 300 хил. души персонал в повече от 100 държави. Компанията предоставя продукти и услуги за диализа с близо 40 процента от пазарния дял в САЩ. Вече е известно, че COVID-19 причинява бъбречна недостатъчност при много пациенти, което води до недостиг на диализни машини и консумативи и до повишено търсене на услугите на Fresenius.

  • Ransomware. Да платиш или не, това е въпросът

    Ъпдейтнат на 04 05 2020 в 12:08 ч.

    М ного сме говорили, чували и писали за криптовируси и за това как, в зависимост от обстоятелствата, престъпниците променят своята стратегия за да осребрят нещастието на своите жертви.

    Въпреки разнообразието от криптовируси и техните възможности за адаптация, съществуват доказано добри практики, при чието прилагане вероятността за инцидент е близка до нула. Все още обаче, се оказва, че криптовирусите остават печелившо перо в портфолиото на киберкриминалния контингент.

    Грешен подход на жертвите

    Причината за този успех е проста. Жертвите обикновено действат на принципа „Това едва ли ще се случи на мен/нас!“. Тоест, игнорирали са опасността, като погрешно са преценили вероятността точно те да бъдат поредните „донори“ на bitcoin или друга криптовалута, в името на това да получат своята информация обратно и да я запазят конфиденциална. Не вземането на превантивни мерки трансформира въпроса от „Дали ще ни криптират?“ в „Кога ще ни криптират?

    В случай, че все пак се окажем жертви… колко би ни струвало да си върнем информацията и контрола върху ситуацията? Отговорът, измерен във време и парични средства, зависи от много фактори, както и от това дали ще платим откупа или ще предпочетем да започнем всичко отначало.

    Пресни примери

    Два пресни случая дават реална представа чрез цената, която са платили Travelex и  очарователният американски град Балтимор. Те са станали жертва на криптовируси и предприели различни стратегии за справяне със ситуацията.

    В средата на април стана известно, че Travelex са платили близо 2.3 млн. USD откуп, след като в навечерието на 2020 г.  криптовирусът Sodinokibi превзема цялата им мрежа. След атаката 1 200 представителства на компанията в над 70 държави остават без ИТ инфраструктура, принуждавайки ги да минат към „ръчен режим“ на работа.

    Заразата засяга и голяма част от уеб сайтовете и мобилното им приложение, което създава допълнителни проблеми с крайни клиенти и партньорски дружества като – Barclays, First Direct, HSBC, Sainsbury’s Bank, Tesco и Virgin Money.

    След явно неуспешни опити да се справят сами, през целият месец януари Travelex вземат решение да платят откупа, искан от престъпниците. Въпреки че съществуват регулации като  GDPR и калифорнийската CCPA, не малка част от компаниите, станали жертви на подобни кибер атаки, предпочитат да запазят мълчание. С него те обикновено се надяват да останат встрани от медийното и публично внимание и да си спестят щетите, свързани със загуба на репутация. Тази стратегия често има обратен ефект.

    Общински неволи

    След вълната успешни криптовирусни атаки срещу американски градове и общини, довела до неколкократно плащане на откупи, градоначалниците на Балтимор решават, че няма да платят поискания 76 хил. USD (в bitcoin) откуп. Преди близо година киберпрестъпниците използват зловреден код, известен под името RobbinHood, за да атакуват сървъри, уеб сайтове и електронни услуги, свързани с живота в града.

    Жителите и бизнесът на Балтимор са „осакатени“ – засегнати са плащания на данъци, комунални услуги и сделки с имоти. В крайна сметка, щетите и мерките взети за да не се повтори този неприятен епизод струват близо 18 млн. USD! В тази цифра са включени и пропуснати ползи за общината, киберзастраховка и инвестиции в областта на киберсигурността.

    Изводът от тези два инцидента и други подобни е ясен – инфектирането с криптовирус не е приятно, нито пък евтино „хоби“. Проактивната защита и план за възстановяване при бедствени събития (disaster recovery plan) са две от „съставките на правилната рецепта“ за справяне с криптовирусите.

    Някои хора биха си извадили погрешни изводи, че сметката не излиза и е по–добре подкупът да бъде платен. Да, чисто финансово може и да е така, особено в някои редки случаи, когато бъдещето на компанията е под въпрос, плащането е неизбежно. Но златното правило е, че плащанията на ransomware откупи стимулират престъпниците и затварят порочният кръг. Професионалистите в областта на киберсигурността са на мнение, че плащането на откуп трябва да бъде криминализирано.

     

  • ИНТЕРПОЛ предупреждава за увеличаване на броя ransomware-атаки срещу болници

    ИНТЕРПОЛ е поредната организация, която предупреди болниците за кибератаки, които могат да доведат до принудително спиране на дейността им в условията на пандемия.

    Организацията наблюдава нарастване броя на опитите на киберпрестъпници да блокират критични болнични системи, дори в текущото глобално извънредно положение. Новината не е изненада, въпреки обещанието на различни хакерски организации, че няма да има атаки срещу здравни и медицински организации по време на пандемията.

    Вълната предупреждения бе подета от Microsoft, която обяви, че е започнала да изпраща таргетирани сигнали до десетки болници за уязвими публични VPN устройства. Според компанията, тези устройства могат да бъдат използвани за разпространението на ransomware-атаки.

    ИНТЕРПОЛ, от своя страна, чрез екипа си Cybercrime Threat Response (CTR), работи в тясна връзка с помощни органи и правоприлагащи организации от ЕС. Целта е смекчаване на последствията и защита от такива атаки, които, насочени към болници, дори могат директно да причинят смърт в днешната безпрецедентна ситуация.

    ИНТЕРПОЛ препоръчва на болниците и лечебните заведения винаги да актуализират софтуера и хардуера си и да архивират данните си на офлайн устройства за съхранение, с цел блокиране на потенциалните атаки.

    Прочетете повече по темата тук

     

    В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • Microsoft предупреждава болниците да се пазят от криптовируси

    Ъпдейтнат на 08 04 2020 в 10:10 ч.

    Microsoft са започнали да предупреждават болници за потенциално уязвими VPN устройства, които са цел на хакерски организации, разпространяващи криптовирусите REvil (Sodinokibi), DoppelPaymer и криптовируса Ragnarok.

    Заразата с ransomware може да доведе до принудително спиране на дейността на болниците. Действие, което предвид натовареността на лечебните заведения заради пандемията с COVID-19, може да се окаже критично и да доведе до загуба на човешки животи.

    Споменатите криптовируси са известни и с „иновативния“ си начин на действие – преди да криптират, те източват вашата информация, за да могат да ви изнудват с публикуването й, споделянето й на конкуренти или излагането й на обществено място с цел да спечелят пари. DoppelPaymer и REvil (Sodinokibi) дори имат собствени платформи, на които публикуват данни, източени от жертвите си, отказали да платят откуп.

    Повече за мерките, които препоръчват от компанията, прочетете тук.

    Прочетете повече по темата тук

     

    В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • Android приложение използва COVID-19 за sextortion и разпространение на криптовируси

    Ъпдейтнат на 24 03 2020 в 11:41 ч.

    Фалшиво Android приложение, твърдящо, че следи разпространението на COVID-19 (коронавирус) по света изнудва свалилите го и се опитва да инсталира криптовирус на устройствата им.

    COVID 19 TRACKER твърди, че предоставя възможност на потребителите си да „следят разпространението на заразата до собствените им улици“ и да получават „статистика за COVID-19 в над 100 държави по света“. Твърди се, че приложението е препоръчано от Световната Здравна Организация и американския Център за контрол и превенция на заболяванията.

    След свалянето си, COVID 19 TRACKER иска позволение от собственика на устройството да работи непрекъснато във фонов режим. Малко след инсталирането си, приложението изкарва екран, в който твърди, че устройството е хакнато – а хакерът има записи на собственика, докато се наслаждава на сайтове за възрастни (sextortion). За да не бъдат направени тези записи публични, се очаква заплащането на откуп.

    Паралелно, софтуерът заключва екрана на засегнатото устройство и иска откуп за отключването му.

    Прочетете повече по темата тук

    В рубриката Новините накратко подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • Английска община се принуди да се върне към работа на хартия заради кибератака

    Администрацията на общината Редкар енд Кливлънд (Redcar and Cleveland, Североизточна Англия) се принуди да се върне към работа на хартия заради кибератака, започнала на 8 февруари.

    Към момента служителите на администрацията продължават да разчитат само на хартия и химикал, обработват единствено най-спешните имейли, а никой не се е ангажирал със срок за разрешаване на проблемите, възникнали след атаката.

    Това е поредната атака срещу държавна администрация, която води до принудително спиране на функциите й. През януари 2020 г. бяха засегнати няколко училища в Калифорния. През ноември 2019 г. – компания, управляваща 110 дома за социални грижи. През септември 2019 г. – администрацията на Ню Бедфорд в Масачузетс. През юни 2019 г. криптовирус спря работата на 4 болници в Румъния.

    Прочетете повече за тенденциите при криптовирусите: Нов вид криптовируси: крадат и изнудват

  • Криптовирус спря дейността на австралийската логистична компания Toll Group

    Ъпдейтнат на 08 04 2020 в 10:53 ч.

    Масова инфекция с криптовируса Mailto затрудни работата на австралийската логистична компания Toll Group, част от Japan Post Holdings.

    Атаката срещу организацията е осъществена през нощта в събота срещу неделя (2 февруари 2020). Тя е принудила компанията да спре няколко приложения, с които работят клиентите й. Официалната позиция е, че няма засегнати или изтекли лични данни на клиенти.  

    Към момента дейността на организацията постепенно се завръща към нормалните си нива.

    Прочетете повече по темата тук

     

    В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • Нов вид криптовируси: крадат и изнудват

    2020 г. започва с нова тенденция при криптовирусите и начините, по които хакерите изнудват жертвите си за откупи.

    Досега, криптовирусите криптираха вашата информация и искаха откуп за нея. Някои плащаха, други не. Сега, за да увеличат шанса да платите, те предприемат нов подход – преди да криптират, източват вашата информация, за да могат да ви изнудват с публикуването й , споделянето й на конкуренти, или излагането й на обществено място с цел да спечелят пари.

    За разлика от sextorsion изнудването, където обикновено се играе на блъф, при Sodinokibi, Maze и Nemty  заплахата е истинска. Това са първите, но вероятно няма да са последните криптовируси, които източват данните на жертвите си преди да ги криптират.

    Как работи измамата

    Досега стандартните криптовируси действаха по добре позната система:

    1. Зараза. Най-често през фишинг имейл, в който има прикачен файл – с привидна сметка, фактура и т.н. Ако жертвата направи грешката да отвори файла, без да разберете, вирусът активира payload, който криптира файловете на системата.
    2. В моментът, в който вирусът криптира данните ви, виждате съобщение, в което се описва исканият откуп и bitcoin портфейл, на който да бъде преведен. Откуп, който много хора отказваха да платят, въпреки загубата на снимки или информация.
    3. Новата стъпка. Отворили сте мнимата фактура или сметка, видели сте, че не е за вас и продължавате с обичайните си ангажименти. Междувременно, информацията ви се източва. След източването на информацията ви на хакерски сървър и криптирането на компютъра ви, виждате на екрана си.  Ако откажете да платите, както много правеха досега, следва новата измама – заплаха, че данните ви ще бъдат дадени на конкуренцията или ще бъдат използвани срещу вас чрез публикуването им. С това хакерите увеличават вероятността да платите и да спечелят повече.

    Така действат Sodinokibi, Maze и Nemty. Ето едно примерно съобщение:

    Съобщение към жертва на Sodinokibi. Снимка: bleepingcomputer.com
    Съобщение към жертва на Sodinokibi. Снимка: bleepingcomputer.com

    Ето и пример. На скрийншота по-горе се вижда как хакерите твърдят, че са откраднали над 50 гигабайта информация. Жертви са компютрите на немската GEDIA Automotive Group, доставчик на компоненти за автомобилно производство с дейност в Германия, Китай, Унгария, Индия, Мексико, Полша, Испания и САЩ. В източените данни фигурират чертежи, данни за служители (над 4 300 души) и клиенти.

    Вижте и: Криптовирус забави работата на 4 болници в Румъния

    Като доказателство за твърдението си, хакерите публикуват Excel файл, в който се съдържа AdRecon репорт за Active Directory средата на GEDIA.

    Заплахата е ясна: платете откупа, в противен случай ще пуснем данните за продажба, а седмица по-късно – и напълно безплатно за сваляне.

    Групата зад Maze стига още по-далеч. Хакерите публикуваха над 700 мегабайта източена от Allied Universal информация – или 10% от общия обем откраднати и криптирани данни. Те дори са се свързали с bleepingcomputer.com, за да разкажат историята си и да споделят част от източените файлове като доказателство:

    Част от източените от Allied Universal данни. Снимка: bleepingcomputer.com
    Част от източените от Allied Universal данни. Снимка: bleepingcomputer.com

    Исканият от тях откуп е бил 300 биткойна или около 2.3 млн. USD. 

    Най-интересната част от комуникацията, според нас, е зададеният въпрос: какви са гаранциите, че след плащането на откупа източените файлове ще бъдат заличени и, че няма да се поиска откуп повече от веднъж. Отговорът е красноречив:

    Не ни интересуват данните. Интересуват ни само парите. Логиката е проста. Ако публикуваме източените данни след откупа, кой ще ни повярва в бъдеще? Нямаме интерес и ще бъде глупаво да публикуваме източените данни, защото няма да спечелим нищо от това. Трием информацията, защото за нас тя не е нещо интересно. Ние не сме шпиони.

    Цялата история на комуникацията между авторите на Maze, Allied Universal и bleepingcomputer.com прочетете тук.

    Собствена мрежа за споделяне на информация

    Видимо, тактиката има смисъл, защото авторите на третия известен подобен вирусNemty – стигат дотам, че планират да създадат собствен сайт, в който под формата на каталог да публикуват данните на жертвите си. Новината е изпратена под формата на пресрилийз, отново до bleepingcomputer.com:

    Плановете на авторите на Nemty, изпратени като пресрилийз. Снимка: bleepingcomputer.com
    Плановете на авторите на Nemty, изпратени като пресрилийз. Снимка: bleepingcomputer.com

    Подобни планове имат и авторите на Maze.

    Nemty е екипиран и да атакува фирми директно. Това ни показва моделът му за централизирана администрация – например, всички засегнати от него компютри в една мрежа, вече могат да бъдат декриптирани с един ключ.

    Много повече от криптиране

    Основният проблем, с който може да се сблъскате, ако станете жертва на подобен вирус, е че последиците няма да се ограничат до загубата на данни.

    Още по темата: Криптовирус принуждава две химически компании да купуват „стотици нови компютри“

    След масовите зарази с криптовируси през последните 2 години, поддържането на бекъп се превърна от бутиково начинание в необходимост и вече много фирми го правят по най-различни начини. Навлизането на услуги в облака също спомогна бизнесите да се почувстват една идея по-защитени от потенциални зарази с ransomware. Все пак, в облака се пази резервно копие на информацията им – което дори в очите на някои обезсмисля закупуването на решение за бекъп.

    Новата тактика, обаче носи допълнителни главоболия. Дори и да имате актуално копие на информацията, в случай, че не бъде платен откупа, не знаете какви данни може да са били източени от компанията ви. Te може да са:

    • Договори
    • Стратегии и планове
    • Лични данни на клиенти и служители
    • Дизайни и чертежи
    • Ноу-хау
    • Бази данни с клиенти
    • Информация за продажби

    А това е само част от възможностите. На практика, публикуването им може да доведе до допълнителни санкциинапример, по GDPR, което може да се окаже сериозна финансова пречка за съществуването на един бизнес.

    Какво да направя в такава ситуация

    Направете всичко възможно да не стигате до нея. Защитете работните си станции с многопластови решения за киберсигурност. Само наличието на антивирусно решение или само на защитна стена вече не достатъчно. Мислете проактивно – защитете организацията си на няколко нива, за да ограничите риска от това да се превърнете в жертва на тази нова вълна.

    Какви са последиците от един криптовирус? Вижте тук. 

    Разчитайте на еволюирали решения за киберсигурност, настроени и поддържани от професионалисти. Потърсете Security Operations Center, който да следи и анализира непрекъснато случващото се в мрежата ви и да реагира в случай на потенциален проблем. Например, да засече, че базите ви данни биват източвани и да ги предпази.

    Хакерите ще стават все по-изобретателни. Еволюирайте, както го правят и те.

     

  • Екраните почерняваха един след друг… Или неразказната история на NotPetya

    „Беше слънчев следобед в Копенхаген. Приготвях софтуерен ъпгрейд за компютъра ми, когато се рестартира неочаквано. Докато се ядосвах на системните администратори, видях че три екрана около мен почерняват. После още, и още, и още. Екраните почерняваха един след друг, след което компютрите ни се оказваха необратимо криптирани.“

    Историята е на Хенрик Йенсен (името е измислено), един от хилядите служители на логистичния гигант Maersk. Компанията е една от най-тежко засегнатите от криптовируса NotPetya, определен от сп. Wired за „най-опустошителната кибератака в историята на човечеството до момента.

    Щетите от заразата, използваща уязвимостта EthernalBlue, достигат до 10 млрд. USD, а сред засегнатите компании са:

    • 870 млн. USD, фармацевтичната Merck
    • 400 млн. USD, логистичната FedEX (TNT Express в Европа)
    • 384 млн. USD, френската строителна компания Saint-Gobain
    • 300 млн. USD, логистичната Maersk
    • 188 млн. USD, производителят на храни Mondelēz

    Започнал като кибервоенно действие, криптовирусът е довел до принудителното спиране на десетки глобални бизнеси. Пълната история на Wired четете тук.

     

     

Back to top button
Close