Криптовируси

  • Android приложение използва COVID-19 за sextortion и разпространение на криптовируси

    Фалшиво Android приложение, твърдящо, че следи разпространението на COVID-19 (коронавирус) по света изнудва свалилите го и се опитва да инсталира криптовирус на устройствата им.

    COVID 19 TRACKER твърди, че предоставя възможност на потребителите си да „следят разпространението на заразата до собствените им улици“ и да получават „статистика за COVID-19 в над 100 държави по света“. Твърди се, че приложението е препоръчано от Световната Здравна Организация и американския Център за контрол и превенция на заболяванията.

    След свалянето си, COVID 19 TRACKER иска позволение от собственика на устройството да работи непрекъснато във фонов режим. Малко след инсталирането си, приложението изкарва екран, в който твърди, че устройството е хакнато – а хакерът има записи на собственика, докато се наслаждава на сайтове за възрастни (sextortion). За да не бъдат направени тези записи публични, се очаква заплащането на откуп.

    Паралелно, софтуерът заключва екрана на засегнатото устройство и иска откуп за отключването му.

    Прочетете повече по темата тук

    В рубриката Новините накратко подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • Английска община се принуди да се върне към работа на хартия заради кибератака

    Администрацията на общината Редкар енд Кливлънд (Redcar and Cleveland, Североизточна Англия) се принуди да се върне към работа на хартия заради кибератака, започнала на 8 февруари.

    Към момента служителите на администрацията продължават да разчитат само на хартия и химикал, обработват единствено най-спешните имейли, а никой не се е ангажирал със срок за разрешаване на проблемите, възникнали след атаката.

    Това е поредната атака срещу държавна администрация, която води до принудително спиране на функциите й. През януари 2020 г. бяха засегнати няколко училища в Калифорния. През ноември 2019 г. – компания, управляваща 110 дома за социални грижи. През септември 2019 г. – администрацията на Ню Бедфорд в Масачузетс. През юни 2019 г. криптовирус спря работата на 4 болници в Румъния.

    Прочетете повече за тенденциите при криптовирусите: Нов вид криптовируси: крадат и изнудват

  • Криптовирус спря дейността на австралийската логистична компания Toll Group

    Масова инфекция с криптовируса Mailto затрудни работата на австралийската логистична компания Toll Group, част от Japan Post Holdings.

    Атаката срещу организацията е осъществена през нощта в събота срещу неделя (2 февруари 2020). Тя е принудила компанията да спре няколко приложения, с които работят клиентите й. Официалната позиция е, че няма засегнати или изтекли лични данни на клиенти.  

    Към момента дейността на организацията постепенно се завръща към нормалните си нива.

    Прочетете повече по темата тук

     

    В рубриката Новините накратко подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • Нов вид криптовируси: крадат и изнудват

    2020 г. започва с нова тенденция при криптовирусите и начините, по които хакерите изнудват жертвите си за откупи.

    Досега, криптовирусите криптираха вашата информация и искаха откуп за нея. Някои плащаха, други не. Сега, за да увеличат шанса да платите, те предприемат нов подход – преди да криптират, източват вашата информация, за да могат да ви изнудват с публикуването й , споделянето й на конкуренти, или излагането й на обществено място с цел да спечелят пари.

    За разлика от sextorsion изнудването, където обикновено се играе на блъф, при Sodinokibi, Maze и Nemty  заплахата е истинска. Това са първите, но вероятно няма да са последните криптовируси, които източват данните на жертвите си преди да ги криптират.

    Как работи измамата

    Досега стандартните криптовируси действаха по добре позната система:

    1. Зараза. Най-често през фишинг имейл, в който има прикачен файл – с привидна сметка, фактура и т.н. Ако жертвата направи грешката да отвори файла, без да разберете, вирусът активира payload, който криптира файловете на системата.
    2. В моментът, в който вирусът криптира данните ви, виждате съобщение, в което се описва исканият откуп и bitcoin портфейл, на който да бъде преведен. Откуп, който много хора отказваха да платят, въпреки загубата на снимки или информация.
    3. Новата стъпка. Отворили сте мнимата фактура или сметка, видели сте, че не е за вас и продължавате с обичайните си ангажименти. Междувременно, информацията ви се източва. След източването на информацията ви на хакерски сървър и криптирането на компютъра ви, виждате на екрана си.  Ако откажете да платите, както много правеха досега, следва новата измама – заплаха, че данните ви ще бъдат дадени на конкуренцията или ще бъдат използвани срещу вас чрез публикуването им. С това хакерите увеличават вероятността да платите и да спечелят повече.

    Така действат Sodinokibi, Maze и Nemty. Ето едно примерно съобщение:

    Съобщение към жертва на Sodinokibi. Снимка: bleepingcomputer.com
    Съобщение към жертва на Sodinokibi. Снимка: bleepingcomputer.com

    Ето и пример. На скрийншота по-горе се вижда как хакерите твърдят, че са откраднали над 50 гигабайта информация. Жертви са компютрите на немската GEDIA Automotive Group, доставчик на компоненти за автомобилно производство с дейност в Германия, Китай, Унгария, Индия, Мексико, Полша, Испания и САЩ. В източените данни фигурират чертежи, данни за служители (над 4 300 души) и клиенти.

    Вижте и: Криптовирус забави работата на 4 болници в Румъния

    Като доказателство за твърдението си, хакерите публикуват Excel файл, в който се съдържа AdRecon репорт за Active Directory средата на GEDIA.

    Заплахата е ясна: платете откупа, в противен случай ще пуснем данните за продажба, а седмица по-късно – и напълно безплатно за сваляне.

    Групата зад Maze стига още по-далеч. Хакерите публикуваха над 700 мегабайта източена от Allied Universal информация – или 10% от общия обем откраднати и криптирани данни. Те дори са се свързали с bleepingcomputer.com, за да разкажат историята си и да споделят част от източените файлове като доказателство:

    Част от източените от Allied Universal данни. Снимка: bleepingcomputer.com
    Част от източените от Allied Universal данни. Снимка: bleepingcomputer.com

    Исканият от тях откуп е бил 300 биткойна или около 2.3 млн. USD. 

    Най-интересната част от комуникацията, според нас, е зададеният въпрос: какви са гаранциите, че след плащането на откупа източените файлове ще бъдат заличени и, че няма да се поиска откуп повече от веднъж. Отговорът е красноречив:

    Не ни интересуват данните. Интересуват ни само парите. Логиката е проста. Ако публикуваме източените данни след откупа, кой ще ни повярва в бъдеще? Нямаме интерес и ще бъде глупаво да публикуваме източените данни, защото няма да спечелим нищо от това. Трием информацията, защото за нас тя не е нещо интересно. Ние не сме шпиони.

    Цялата история на комуникацията между авторите на Maze, Allied Universal и bleepingcomputer.com прочетете тук.

    Собствена мрежа за споделяне на информация

    Видимо, тактиката има смисъл, защото авторите на третия известен подобен вирусNemty – стигат дотам, че планират да създадат собствен сайт, в който под формата на каталог да публикуват данните на жертвите си. Новината е изпратена под формата на пресрилийз, отново до bleepingcomputer.com:

    Плановете на авторите на Nemty, изпратени като пресрилийз. Снимка: bleepingcomputer.com
    Плановете на авторите на Nemty, изпратени като пресрилийз. Снимка: bleepingcomputer.com

    Подобни планове имат и авторите на Maze.

    Nemty е екипиран и да атакува фирми директно. Това ни показва моделът му за централизирана администрация – например, всички засегнати от него компютри в една мрежа, вече могат да бъдат декриптирани с един ключ.

    Много повече от криптиране

    Основният проблем, с който може да се сблъскате, ако станете жертва на подобен вирус, е че последиците няма да се ограничат до загубата на данни.

    Още по темата: Криптовирус принуждава две химически компании да купуват „стотици нови компютри“

    След масовите зарази с криптовируси през последните 2 години, поддържането на бекъп се превърна от бутиково начинание в необходимост и вече много фирми го правят по най-различни начини. Навлизането на услуги в облака също спомогна бизнесите да се почувстват една идея по-защитени от потенциални зарази с ransomware. Все пак, в облака се пази резервно копие на информацията им – което дори в очите на някои обезсмисля закупуването на решение за бекъп.

    Новата тактика, обаче носи допълнителни главоболия. Дори и да имате актуално копие на информацията, в случай, че не бъде платен откупа, не знаете какви данни може да са били източени от компанията ви. Te може да са:

    • Договори
    • Стратегии и планове
    • Лични данни на клиенти и служители
    • Дизайни и чертежи
    • Ноу-хау
    • Бази данни с клиенти
    • Информация за продажби

    А това е само част от възможностите. На практика, публикуването им може да доведе до допълнителни санкциинапример, по GDPR, което може да се окаже сериозна финансова пречка за съществуването на един бизнес.

    Какво да направя в такава ситуация

    Направете всичко възможно да не стигате до нея. Защитете работните си станции с многопластови решения за киберсигурност. Само наличието на антивирусно решение или само на защитна стена вече не достатъчно. Мислете проактивно – защитете организацията си на няколко нива, за да ограничите риска от това да се превърнете в жертва на тази нова вълна.

    Какви са последиците от един криптовирус? Вижте тук. 

    Разчитайте на еволюирали решения за киберсигурност, настроени и поддържани от професионалисти. Потърсете Security Operations Center, който да следи и анализира непрекъснато случващото се в мрежата ви и да реагира в случай на потенциален проблем. Например, да засече, че базите ви данни биват източвани и да ги предпази.

    Хакерите ще стават все по-изобретателни. Еволюирайте, както го правят и те.

     

  • Екраните почерняваха един след друг… Или неразказната история на NotPetya

    „Беше слънчев следобед в Копенхаген. Приготвях софтуерен ъпгрейд за компютъра ми, когато се рестартира неочаквано. Докато се ядосвах на системните администратори, видях че три екрана около мен почерняват. После още, и още, и още. Екраните почерняваха един след друг, след което компютрите ни се оказваха необратимо криптирани.“

    Историята е на Хенрик Йенсен (името е измислено), един от хилядите служители на логистичния гигант Maersk. Компанията е една от най-тежко засегнатите от криптовируса NotPetya, определен от сп. Wired за „най-опустошителната кибератака в историята на човечеството до момента.

    Щетите от заразата, използваща уязвимостта EthernalBlue, достигат до 10 млрд. USD, а сред засегнатите компании са:

    • 870 млн. USD, фармацевтичната Merck
    • 400 млн. USD, логистичната FedEX (TNT Express в Европа)
    • 384 млн. USD, френската строителна компания Saint-Gobain
    • 300 млн. USD, логистичната Maersk
    • 188 млн. USD, производителят на храни Mondelēz

    Започнал като кибервоенно действие, криптовирусът е довел до принудителното спиране на десетки глобални бизнеси. Пълната история на Wired четете тук.

     

     

  • Криптовирус забави работата на 4 болници в Румъния

    Успешна зараза с криптовируса BadRabbit 4 стана причина за забавен прием и изписване на пациенти и предписване на медикаменти в 4 румънски болници, съобщава romania-insider.com.

    Според изданието, заразата най-вероятно е осъществена посредством успешна фишинг атака срещу здравните заведения в градовете Букурещ, Хуш, Дорохой и Карбунещ. Според специалистите пробивът не е бил сложен и е могъл да бъде овладян от обикновено антивирусно решение.  

    Румънски медии цитират здравния министър Сорина Пинтея, според която атаката е овладяна, а пациентите нямат повод за притеснение. Министърът обаче добавя, че заразата е затруднила част от процедурите по приемане и изписване на пациенти, използване на отстъпки и др. Румънската здравноосигурителна каса (CNAS) не е засегната от атаката. 

    Успешните кибер атаки срещу лечебни заведения не са прецедент в Румъния. През 2017 г., след успешна атака на данните на лечебно заведение, хакери са поискали 10 хил. EUR, за да възстановят информацията. 

  • Криптовирус принуждава две химически компании да купуват „стотици нови компютри“

    Масова зараза с криптовирус, атакувал норвежкия производител на алуминий Hydro, може да принуди американски химически компании да закупят стотици нови компютри, съобщава Motherboard.

    Жертвите на заразата – Hexion и Momentive – са били поразени на 12 март, твърди изданието. Атаката е била глобална и е принудила ръководството да опре до „отряди за бързо реагиране“, за да се справи с проблема, пише още изданието. И двете компании са управлявани от един и същи инвестиционен фонд.

    Според публикацията, използваният криптовирус е LockerGoga.

    В деня на атаката част от работещите под Windows компютри на двете химически компании са били засегнати от познатия blue screen of death – грешка, която води до забиване на операционната система и визуализиране на син екран с предупредително съобщение за проблема. След рестартирането на засегнатите от грешката машини, файловете им са били криптирани изцяло. Информацията на Motherboard е от текущ служител на една от химическите компании.

    Той е цитиран да казва: „Всичко спря. Нямаше мрежи, имейли, нищо.“

    В мейл на ръководството до служителите на компанията се казва, че информацията на засегнатите машини най-вероятно е безвъзвратно загубена (а вие имате ли бекъп план?) и атаката ще принуди организацията да закупи „стотици нови компютри“.

  • Колко струва едно компютърно престъпление на черния пазар?

    До 2021 г. киберпрестъпленията ще струват 6 трлн. долара според проучване на Cybersecurity Ventures. В тази зашеметяваща сума се включват не само печалбите на хакерите, но и всички разходи, които възникват покрай всяко отделно компютърно престъпление.

    Когато една организация бъде заразена с рансъмуер, плащането на откуп не е единственият разход, който прави. Тя плаща за възстановяване на информационните системи и възстановяване на бизнес процеси. Това може да струва милиони. Атланта например трябваше да отдели 17 млн. долара от своя бюджет, за да погаси щетите, причинени от рансъмуера SamSam.

    Компютърни престъпления като услуга

    По-притеснителното обаче е, че днес почти всеки може да се превърне в киберпрестъпник. Моделът cybercrime as a service позволява на човек с компютър и достъп до интернет да си плати, за да използва готови инструменти за осъществяване на кибератаки.

    Или пък да си купи данни за достъп до критична инфраструктура като сървъри и информационни системи.

    А какво да кажем за възможността да се купят крадени акаунти за платежни услуги за части от стойността им?

    „Инструментите са налице. Уменията са налице. Нужни са само 2-3000 долара, за да може някой да се занимава с компютърни престъпления“, казва Питър Трейвън, специален агент на ФБР.

    А понякога и много по-малко. Компанията за информационна сигурност ESET дава пример с някои от най-популярните незаконни услуги, които се предлагат на черния пазар. Цените им варират от няколко долара до почти $ 2000.

    Криптовируси под наем

    На кого му е притрябвало да си пише сам криптовирус, когато може просто да си наеме такъв? Срещу определена сума желаещите получават готова онлайн услуга с интерфейс, който не изисква почти никакви технически познания.

    Един такъв криптовирус е Ranion, който се предлага като онлайн услуга с месечни и годишни абонаментни планове. Срещу 1900 долара потребителят получава за една година пълна функционалност на рансъмуера, включително и опция за техническа помощ, ако е необходимо. Предлагат се и месечни планове за по 120 долара, както и други ценови оферти според нуждите и желанията на клиентите.

    Друг популярен модел е този на споделените приходи. Това означава, че използването на рансъмуера е напълно безплатно, но авторите му вземат като комисион част от всеки платен откуп.

    Споделени бот мрежи

    Някои престъпници изграждат бот мрежи, които след това отдават под наем. Потребителите плащат, за да използват тяхната изчислителна мощ за извършване на DDOS атаки.

    Цената на услугата зависи от продължителността на атаката, както и от трафика, който ще се генерира. Ако например някой иска да осъществи тричасова DDOS атака, това ще му струва около 60 долара.

    В много случаи целта на тези DDOS атаки е да се извади от строя определен сървър или да се използват срещу популярни онлайн игри като Fortnite.

    Достъп до хакнати сървъри

    Има незаконни сайтове, които предлагат данни за достъп до сървъри от цял свят чрез RDP. Цените са пословично ниски и варират между 8 и 15 долара. В тези сайтове могат да се намерят и данни за достъп до сървъри в България.

    Търсачките на сайтовете предлагат доста детайлно сегментиране. Може да се избира сървър по местоположение или операционна система.

    Един от най-популярните такива сайтове xDedic беше свален от Европол и ФБР през януари 2019 г. Там се продаваха данните за достъп до десетки хиляди сървъри от повечето страни по света. Европол оценява щетите от xDedic на около 68 млн. долара.

    Да си купиш краден PayPal

    Престъпниците рядко използват PayPal акаунтите, които са хакнали, тъй като това е свързано с определени рискове. Вместо това те ги препродават на други престъпници.

    Сделката е рискована (ако те хванат), но за сметка на това доходна. Според ESET цената на един хакнат PayPal акаунт е около 10% от стойността на парите в него. Така че ако някой иска да си купи краден акаунт с 2000 долара в него, той ще трябва да плати около 200 долара.

  • Топ 5 на най-опасните видове рансъмуер

    Криптовирусите са една от водещите заплахи за бизнеса. Въпреки че представляват само малка част от общия обем на малуера, те са предпочитани от компютърните престъпници заради възможността за изкарване на бързи пари.

    Размерът на печалбата може да варира от няколкостотин долара (ако е инфектиран отделен потребител) до над милион долара (ако вирусът е криптирал данните на цяла организация).

    Бизнесът е основната жертва на рансъмуера, защото данните са от критична важност за фирмите и много от тях предпочитат да платят откуп, за да си върнат достъпа до информацията.

    Замирането на криптовирусите е мит

    През 2018 г. популярността на криптовирусите е намаляла за сметка на cryptojacking атаките, посочва в свой доклад Агенцията на Европейския съюз за мрежова и информационна сигурност (ENISA). Това обаче не означава, че заплахата от криптиране на данните ви намалява.

    Много видове рансъмуер продължават да се използват активно. Според ENISA криптовирусите заразяват около 15% от всички фирми в сектори като здравеопазване, финансови услуги, телекоми, шоубизнес, строителство, транспорт и търговия. Агенцията посочва и кои са петте най-опасни вида рансъмуер на базата на честотата, с която атакуват организации.

    WannaCry

    WannaCry убедително заема първото място с почти 54% дял от всички атаки с рансъмуер. Този криптовирус се разпространява из цялата корпоративна мрежа без необходимостта от човешка намеса.

    През май 2017 атака с WannaCry засегна стотици хиляди компютри в 150 страни от цял свят. В друга атака от март 2018 г. пострада гигантът в производството на самолети Boeing. Предполага се, че са платени над 300 откупа от организации, пострадали от WannaCry.

    GandCrab

    За по-малко от месец след появата си през януари 2018 г. GandCrab засегна над 50 хил. системи. В периода между март и юли 2018 г. това е бил вторият най-често засичан вид рансъмуер в света.

    Атаката с GandCrab става чрез макро скрипт, скрит в прикачен файл в имейл съобщение. За разлика от други криптовируси обаче GandCrab иска откупи в даш, а не в биткойн. Засяга предимно бизнеси от скандинавските и англоговорящите страни.

    NotPetya

    NotPetya се появи през юни 2017 г. и първоначално засегна над 1 млн. компютри в Украйна. Този криптовирус е комбинация от експлойтите EternalBlue и EternalRomance. Поне около 2000 компании само в Украйна бяха засегнати. В повечето случаи рансъмуерът буквално изтриваше данните от твърдите дискове на засегнатите компютри.

    SamSam

    SamSam е един от най-доходоносните видове рансъмуер. Кодът му е написан с идеята да не оставя следи за дейността си. Жертва на SamSam станаха местните власти в Атланта и Департамента по транспорт на Колорадо. Щетите от вируса се оценяват на милиони.

    На толкова се оценяват и печалбите от SamSam – те надхвърлят 6. млн. долара досега според компанията за информационна сигурност Sophos. Това го превръща в една от златните мини в света на компютърните престъпления.

    Lokibot

    Основната функция на Lokibot всъщност е да краде данни за достъп до онлайн банкирането на засегнатите потребители. Но той се използва и като рансъмуер, защото дава възможност на хакерите да заключват инфектираните смартфони. През първата половина на 2018 г. Lokibot е бил сред трите най-търсени от компютърните престъпници зловредни кодове за мобилни устройства.

    Прочетете нашия съветник как да се предпазите от рансъмуер.

  • „Искате си данните? Платете ни с… достъп до данните“

    Основната цел на престъпниците, които работят с криптовируси, е да получат финансова изгода. Някои от тях обаче го правят с особена изобретателност.

    Обикновено когато компютърът ви е заразен с рансъмуер, вие трябва да платите откуп, за да получите ключ, с който да дектиптирате данните на твърдия диск. Но BleepingComputer съобщава за криптовирус, който освен откуп в биткойн иска от жертвите да изпратят и… данни за отдалечен достъп до компютрите им.

    Подобно искане е крайно необичайно. То предполага, че авторът му иска първо да прибере откупа, а след това да открадне и данните на жертвата си.

    Това е като да откриете бележка в дома си: „Откраднахме телевизора ви. Ще си го получите обратно, ако ни платите 150 лв. Пратете и ключове за входната врата, за да можем да влезем и да ви го върнем“.

    Едва ли ще дадете на крадци ключовете за дома си.

    Рансъмуерът е докладван за пръв път на 30 октомври и е наречен CommonRansom.

    На заразения компютър се появява съобщение за откуп в размер на 0.1 биткойн. Но освен откупа жертвата трябва да изпрати на посочен имейл адрес и следните данни: IP адрес на заразения компютър, RDP порт и потребителско име и парола за администраторски достъп.

    Да се предостави тази информация е изключително неразумно. Данните дават възможност на автора на рансъмуера да получи достъп до заразения компютър. Той може действително да декриптира файловете на твърдия диск, но едновременно с това може да ги копира или унищожи, да инсталира друг малуер на устройството и т.н.

    Рансъмуерът продължава да е основна заплаха за потребителите в интернет. Според McAfee броят на новите варианти на криптовируси намалява от средата на 2017 г. досега.

    Това не променя факта, че към юни 2018 г. са засечени почти 18 млн. различни версии на рансъмуер. Всяка от тях има потенциала да зарази хиляди индивидуални потребители и фирми.

Back to top button
Close
Close