Криптовируси

  • REvil ъпдейтна бизнесмодела си: вече предлага крадена информация на търг

    Неведнъж сме разказвали на групата REvil / Sodinokibi – едни от добилите популярност в началото на 2020 г. криптовируси, които източват данните на жертвите си преди да ги криптират. 

    Всяко ново появяване на това ransomware семейство е запомнящо се, защото добавя нов щрих към измамата: 

    • Първоначално групата стана известна с това, че подсигурява печалбата си от две страни – или плащате за декриптиране на данните си или за да не попаднат те в ръцете на конкуренцията. При всички случаи REvil печели. 
    • По-късно през годината „семейството“се сдоби със собствена платформа. На нея, под формата на каталог, се публикува откраднатата информация от жертвите, които не са платили откупите си. Така пазарният дял е гарантиран. 
    • В началото на юни 2020 г. REvil добави черешката на тортата – функция за анонимно наддаване за откраднатата информация. А първите аукциони са вече факт. 

    Сред жертвите, чиито данни са били продадени на търг, са дистрибутор на храни, адвокатска кантора и дружество за интелектуална собственост, всички в САЩ.  

    Спечелилите наддаването плащат, разбира се, с криптовалутаПри това, изглежда, че страните се ползват с взаимно доверие, тъй като не би било възможно да се поиска възстановяване на сумата в случай на недоставяне на заплатената информация. 

    Продължаване да следим развитието на REvil и ни се иска този бизнес нюх да бъде вложен в положителна кауза. 

    Прочетете повече по темата тук

     

    В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • Как RIPlace елиминира конвенционалните защити от криптовируси

    Нова техника за разпространение на криптовируси елиминира защитата на повечето съвременни антивирусни решения само с няколко реда код. Става въпрос за RIPlace, която е поредното нововъведение в ransomware.

    Техниката е разкрита от изследователите по киберсигурност Daniel Prizmant, Guy Meoded, Freddy Ouzan и Hanan Natan от Nyotron още в през 2018 г. След като уведомили всички засегнати разработчици на приложения, операционни системи и антивирусен софтуер, включително и Microsoft, обаче, анализаторите получили лаконичен отговор. Нещо от сорта на: щом дотогава никой криптовирус не е използвал тази техника, уязвимостта се класифицира като „незначима“.

    Наскоро обаче дебютира Thanos – първият криптовирус, който използва RIPlace.

    В кореспонденция между Nyotron и BleepingComputer, Nyotron  са тествали RIPlace срещу голям брой разработчици на антивирусен софтуер, включително Microsoft, Symantec, Sophos, McAfee, Carbon Black, Kaspersky, Crowdstrike, PANW Traps, Trend Micro, Cylance, SentinelOne, и Malwarebytes. Единствено Kaspersky и Carbon Black са направили нужните промени в техния антивирусен софтуер, за да елиминират изпълнението на тази техника.

    Преодоляване на ransomware защитата от RIPlace

    Според Nyotron, криптовирусите използват 3 различни техники, за да криптират информацията на жертвата и по този начин да подменят легитимната информация с криптирана такава. Обикновено, най-често използвани са методи #1 и #2:

    1. Записване на криптираните данни от паметта в оригиналния файл.
    2. Записване на криптираните данни от паметта в нов файл и след това изтриване на стария (легитимния) файл.
    3. Записване на криптираните данни от паметта в нов файл и след това с помощта на т.нар. “Rename call” се заменя оригиналния файл.

    За да бъде успешно предотвратена една атака от ransomware, всичките три опции трябва да бъдат защитени от филтриращият драйвер на антивирусния софтуер.

    От Nyotron откриха, че изпълнението на вариант 3 за подмяна на файлове и извършването му по специален начин, позволява да се заобиколи защитната функция, както е показано по-долу:

    Различни методи за запазване на криптираните файлове

     

    RIPlace работи, използвайки функцията „DefineDosDevice“, за да създаде DOS устройство, като например \\.\RIPlace, което след това сочи (links) към криптирания файл. Впоследствие DOS устройството се подава като целеви път за Rename функцията. Тъй като име на DOS устройство не се очаква, това води до връщане на грешка за това изпълнение. Така драйверът MiniFilter (който е част модула за защита от ransomware) вижда грешка и не блокира нищо, но въпреки това Rename преминава успешно.

    В крайна сметка, от гледна точка на разработчиците на криптовируси, са необходими промени на няколко реда код, за да се заобиколят наличните защитни модули.

    Въпреки че промените са доста прости, може да са нужни малко повече усилия в сравнение с използването на нормалните методи, но това ще трябва да бъде допълнително тествано, за да се знае със сигурност.

    RIPlace срещу Controlled Folder Access в Windows 10

    Controlled Folder Access (CFA) осигурява защита на ценна информация от злонамерени приложения и заплахи, като например криптовируси. Всички приложения (всеки изпълним файл, включително .exe, .scr, .dll, word файлове и други) се оценяват от Microsoft Defender Antivirus, който след това определя дали приложението е злонамерено или безопасно. Ако приложението е класифицирано като злонамерено или подозрително, няма да бъде позволено то да прави промени по който и да е файл, намиращ се в защитена папка, дефинирана в CFA.

    От Nyotron създадоха видео, в което се демонстрира заобикалянето на CFA използвайки RIPlace. За повече информация може да посетите сайта на Nyotron, където има създадена специална страница за RIPlace.

    BleepingCmputer, използвайки RIPlace, също заобиколиха CFA, като за доказателство (Proof-of-concept) са публикували подробни снимки на атаката.

    От кореспонденцията между BleepingCmputer и Microsoft става ясно, че тази техника не се смята за уязвимост от технологичния гигант: „CFA се базира на многослойна защита (defence-in-depth) и за да бъде успешна тази атака са необходими привилегировани права на конкретната машина. Следователно тази техника не отговаря на нашите критерии за обслужване на сигурността.“

    Как да се защитите

    И докато според Microsoft възможността, някой да компрометира вашата машина и да ескалира своите привилегии, не е често (и лесно) действие, за съжаление в реалния свят нещата стоят по коренно различен начин. Един от най-често използваните похвати на злонамерените лица, след като си осигурят достъп до инфраструктурата, е именно да повишат своите привилегии, а в някои случаи дори не е нужно да го правят. Защо ли? Защото например не се използва концепцията за Least privilege и съответно на компрометираната машина всички потребители са с admin права.

    Антивирусният софтуер сам по себе си не може и не бива да бъде приеман като all-in-one решение, а по скоро като една част от него. Другите „части“ на това решение са: следване на добри практики в сферата на информационната сигурност, в това число използване на защитна стена на изхода на мрежата, ограничаване на публично достъпните услуги (уязвими протоколи като RDP и SMB не бива да бъдат публично достъпни!), сегментиране на мрежата, правилно разпределяне на правилата на потребителите и др.

  • Да правиш пари от COVID-19: фалшиво приложение криптира потребителски телефони

    Фалшиво приложение, свързано с COVID-19, криптира телефоните на жертвите си и иска откуп за отключването им. Става въпрос за CryCryptor, таргетиран конкретно срещу канадски потребители. Той се разпространява като имитира официалното приложение за проследяване развитието на вируса, предлагано от Health Canada.

    Инициативата за създаването на такова приложение с името COVID Alert беше обявена преди няколко дни. Реакцията на хакерите не закъсня:

    Атаката е разкрита от ESET, които предлагат и инструмент за декриптиране на засегнатите потребители.

    Прочетете повече по темата тук

     

    В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • Криптовирус почти остави без бира Австралия и Нова Зеландия

    Криптовирус почти остави без бира Австралия и Нова Зеландия, след като стана причина за временно спиране на дейността на най-големия местен производител Lion.

    Спирането идва малко след друго принудително прекратяване на производството заради пандемията от COVID-19.

    Производителят на местните най-популярни марки бира като XXXX Gold, Tooheys, Hahn, James Boag и Little Creatures, заяви, че хакът „не е могъл да дойде в по-лош момент“.

    Компанията не дава никакви подробности относно поражения и поискан откуп, но заявява, че отнема повече от очакваното, за да бъдат върнати производствените й системи онлайн.

    Прочетете повече по темата тук

     

    В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • След Honda, и Enel стана жертва на криптоатака

    Нова значима атака с криптовирус, насочена към корпоративен гигант в рамките на една седмица. Жертва този път е аржентинското подразделение не енергийната компания Enel.

    Отново става дума за SNAKE софтуер, сочи разследване на Malwarebytes.

    Засегната е дъщерната компания на Enel в Аржентина – Edesur S.A., като атаката е затруднила обслужването на клиентите по телефона, социалните мрежи и използването на виртуалния офис.

    Подобна ransomware атака причини и частичното спиране на производството на автомобилостроителната компания Honda.

    Прочетете повече по темата тук

     

    В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • Фалшиво решение за декриптиране на STOP Djvu Ransomware криптира повторно файлове на жертвите си

    Поредното доказателство, че не трябва да се доверяваме сляпо на всичко, което пише в интернет е факт. Става въпрос за мнимо решение за декриптиране на файловете, засегнати от STOP Djvu Ransomware.

    Казусът: вместо да решава проблеми, то създава нови такива и криптира още веднъж вече криптираните от зловредния код файлове.

    Ежедневно STOP Djvu поразява средно 600 потребителя. Това е повече, отколкото жертвите на Maze, REvil, Netwalker и DoppelPaymer взети заедно. Изброените зловредни кодове са и най-печелившите в момента от гледна точка „оборот“, генериран на база събраните откупи от жертвите.

    Научете повече за новото поколение криптовируси тук.

    Прочетете повече по темата тук

     

    В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • Honda спря частично производството заради атака с криптовирус

    Японската автомобилостроителна компания Honda е станала жертва на атака с криптовирус, довела до частично спиране на производството ѝ. Най-вероятно е използвано ransomware семейството SNAKE. От компанията съобщават, че няма доказателства за изтичане на лични данни на клиентите ѝ.

    Атаката е дошла от европейското подразделение на организацията. От публикация по темата в BleepingCompuer може да се предположи, че става въпрос за таргетирани действия срещу организацията. Причината: в семпъл, публикуван във VirusTotal, се вижда, че зловредният код търси вътрешна мрежа с името mds.honda.com, а при опит за стартирането му в sandbox, не се криптират никакви файлове и приложението просто спира.

    Засегнати са няколко завода, както и финансовото подразделение на автомобилопроизводителя.

    Освен, че опитва да криптира файловете на засегнатите работни станции, SNAKE източва информацията от тях. Така хакерите разполагат с 2 инструмента за изнудване – от една страна се иска откуп за декриптиране на файловете, а от друга – за запазването на конфиденциалността им.

    Прочетете повече по темата тук

     

    В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • Нова тактика: ransomware се крие от антивирусната защита с виртуална машина

    Втора значима нова тактика в разпространението и прикриването на криптовируси (ransomware) от началото на 2020 г. налагат създателите на RagnarLocker. Те използват Oracle VirtualBox със заредена виртуална машина Windows XP, за да скрият своето присъствие от наличния антивирусен софтуер.

    С инсталирането на Oracle VirtualBox, авторите на зловредния код стартират виртуална машина на инфектираните компютри. Така криптовирусът се изпълнява в „защитена, контролирана среда“, която е извън обсега на антивирусния софтуер, работещ върху физическата (хост) машина .

    Прочетете още: Нов вид криптовируси: крадат и изнудват

    Този интересен подход бе забелязан и подробно описан от британската фирма за киберсигурност Sophos и показва креативността и големите усилия, на които са способни хакерските групи, за да останат незабелязани, докато инфектират своята жертва.

    Какво е RagnarLocker?

    Идеята зад прикриване на присъствието е от критично значение за RagnarLocker. Те не са просто типичната хакерска групировка, която криптира всеки и каквото им попадне. Те внимателно подбират своите жертви, като избягват крайни потребители и се целят единствено в корпоративни и държавни организации.

    Според Sophos, основните техники за подбор на жертвите от страна на RagnarLocker са се състояли в компрометиране на отворен RDP порт на ниво работна станция и компрометиране на инструменти, използвани от MSP (Managed Service Providers). По този начин хакерите си осигуряват достъп до вътрешните мрежи и ресурси на засегнатата компания.

    Веднъж придобила достъп до вътрешната мрежа, групировката пуска конкретна версия на своя криптовирус. Тя варира и е специфична за всяка една жертва. След заразата, RagnarLocker изискват огромна сума за декриптирането на информацията в размер на десетки или стотици хиляди американски долари.

    Тъй като всяка една от тези внимателно планирани атаки представлява шанс за спечелване на огромна суми пари, RagnarLocker основно залагат на оставането им под прикритие в засегнатите мрежи. Това е и причината за създаването на този хитър „фокус“, чрез който да избегнат засичането от антивирусен софтуер.

    Магията с виртуалната машина

    Т.нар. „фокус“ всъщност е много прост, но, същевременно, хитър подход.

    Вместо да стартират криптовируса директно на компютъра-жертва, от RagnarLocker свалят и инсталират Oracle VirtualBox, широкоразпространен софтуер за виртуализация.

    Те конфигурират виртуалната машина, като ѝ задават пълен достъп до всички локални и споделени папки и локации и по този начин ѝ осигуряват права за манипулиране на файлове, които се съхраняват извън нейния локален диск.

    Следващата стъпка се състои в стартиране на виртуалната машина, като за целта се стартира орязана версия на Windows XP SP3, наречена MicroXP v0.82.

    Последната фаза на атаката е да се зареди криптовируса във виртуалната машина и да се изпълни. Тъй като кодът работи в самата виртуална машина, антивирусният софтуер няма да открие злонамерения процес.

    От гледна точка на антивирусния софтуер, файловете намиращи се на локалната файлова система, както и тези на споделените папки, изведнъж ще бъдат подменени с техните криптирани версии, а всички модификации на тези файлове ще идват от легитимен процес – а именно програмата VirtualBox.

    За повече информация препоръчваме да прочетете детайлния репорт на Sophos, който освен криптовируса RagnarLocker, разглежда и техниката с виртуалната машина.

  • Най-големият частен оператор на болнични услуги в Европa стана жертва на ransomware

    Криптовирус стана причина за временно забавяне на работата на най-големия европейски частен болничен оператор и основен доставчик на диализни продукти и услуги Fresenius.

    Атаката е засегнала едно от четирите подразделения на организацията – Fresenius Kabi (доставчик на медикаменти и медицински устройства). Компанията все още се бори с последиците от заразата, уведомила е разследващите органи и продължава да полага грижи за своите пациенти. Няма официална информация за използвания зловреден код и дали е поискан откуп.

    Как е осъществена атаката

    Според блога за информационна сигурност KrebsOnSecurity Fresenius е засегната от Snake Ransomware. Зловредният код е използван за атаки предимно срещу големи организации. Той взима за „заложници” ИТ системите и данните им в замяна на плащане на откуп под формата на криптовалути.

    Атаката срещу Fresenius идва на фона на все по-целенасочени атаки срещу доставчици на здравни услуги на първа линия за реагиране на пандемията COVID-19, за която предупреди Интерпол през април.

    През изминалата седмица предупреждения за зачестили ransomware-атаки, насочени към организации, работещи в областта на здравеопазването, оповестиха и Агенцията за кибер- и инфраструктурна сигурност на САЩ (CISA) и Националният център за киберсигурност на Великобритания.

    В сигналите се споменава, че пандемията вероятно предизвика допълнителен интерес у киберпрестъпниците да събират информация, свързана с COVID-19, например разузнавателна информация за националната и международната политика в областта на здравеопазването или чувствителни данни за изследвания, свързани с COVID-19.

    Организирано средство за изнудване

    Доскоро подобни ransomware-атаки бяха смятани за единични нападения с цел получаване на откуп. Напоследък обаче те се превръщат в основна причина за изтичане на данните на редица организации, станали тяхна жертва. Според Лорънс Ейбрамс (Bleeping Computer) атаката срещу Fresenius вероятно е част от по-мащабна Snake Ransomware кампания, която набира голяма скорост през последната седмица.

    Прочетете и: Екраните почерняваха един след друг… Или неразказната история на NotPetya

    Базирана в Германия група Fresenius включва четири независими компании, работещи в различни критични сфери на здравеопазването, с близо 300 хил. души персонал в повече от 100 държави. Компанията предоставя продукти и услуги за диализа с близо 40 процента от пазарния дял в САЩ. Вече е известно, че COVID-19 причинява бъбречна недостатъчност при много пациенти, което води до недостиг на диализни машини и консумативи и до повишено търсене на услугите на Fresenius.

  • Ransomware. Да платиш или не, това е въпросът

    М ного сме говорили, чували и писали за криптовируси и за това как, в зависимост от обстоятелствата, престъпниците променят своята стратегия за да осребрят нещастието на своите жертви.

    Въпреки разнообразието от криптовируси и техните възможности за адаптация, съществуват доказано добри практики, при чието прилагане вероятността за инцидент е близка до нула. Все още обаче, се оказва, че криптовирусите остават печелившо перо в портфолиото на киберкриминалния контингент.

    Грешен подход на жертвите

    Причината за този успех е проста. Жертвите обикновено действат на принципа „Това едва ли ще се случи на мен/нас!“. Тоест, игнорирали са опасността, като погрешно са преценили вероятността точно те да бъдат поредните „донори“ на bitcoin или друга криптовалута, в името на това да получат своята информация обратно и да я запазят конфиденциална. Не вземането на превантивни мерки трансформира въпроса от „Дали ще ни криптират?“ в „Кога ще ни криптират?

    В случай, че все пак се окажем жертви… колко би ни струвало да си върнем информацията и контрола върху ситуацията? Отговорът, измерен във време и парични средства, зависи от много фактори, както и от това дали ще платим откупа или ще предпочетем да започнем всичко отначало.

    Пресни примери

    Два пресни случая дават реална представа чрез цената, която са платили Travelex и  очарователният американски град Балтимор. Те са станали жертва на криптовируси и предприели различни стратегии за справяне със ситуацията.

    В средата на април стана известно, че Travelex са платили близо 2.3 млн. USD откуп, след като в навечерието на 2020 г.  криптовирусът Sodinokibi превзема цялата им мрежа. След атаката 1 200 представителства на компанията в над 70 държави остават без ИТ инфраструктура, принуждавайки ги да минат към „ръчен режим“ на работа.

    Заразата засяга и голяма част от уеб сайтовете и мобилното им приложение, което създава допълнителни проблеми с крайни клиенти и партньорски дружества като – Barclays, First Direct, HSBC, Sainsbury’s Bank, Tesco и Virgin Money.

    След явно неуспешни опити да се справят сами, през целият месец януари Travelex вземат решение да платят откупа, искан от престъпниците. Въпреки че съществуват регулации като  GDPR и калифорнийската CCPA, не малка част от компаниите, станали жертви на подобни кибер атаки, предпочитат да запазят мълчание. С него те обикновено се надяват да останат встрани от медийното и публично внимание и да си спестят щетите, свързани със загуба на репутация. Тази стратегия често има обратен ефект.

    Общински неволи

    След вълната успешни криптовирусни атаки срещу американски градове и общини, довела до неколкократно плащане на откупи, градоначалниците на Балтимор решават, че няма да платят поискания 76 хил. USD (в bitcoin) откуп. Преди близо година киберпрестъпниците използват зловреден код, известен под името RobbinHood, за да атакуват сървъри, уеб сайтове и електронни услуги, свързани с живота в града.

    Жителите и бизнесът на Балтимор са „осакатени“ – засегнати са плащания на данъци, комунални услуги и сделки с имоти. В крайна сметка, щетите и мерките взети за да не се повтори този неприятен епизод струват близо 18 млн. USD! В тази цифра са включени и пропуснати ползи за общината, киберзастраховка и инвестиции в областта на киберсигурността.

    Изводът от тези два инцидента и други подобни е ясен – инфектирането с криптовирус не е приятно, нито пък евтино „хоби“. Проактивната защита и план за възстановяване при бедствени събития (disaster recovery plan) са две от „съставките на правилната рецепта“ за справяне с криптовирусите.

    Някои хора биха си извадили погрешни изводи, че сметката не излиза и е по–добре подкупът да бъде платен. Да, чисто финансово може и да е така, особено в някои редки случаи, когато бъдещето на компанията е под въпрос, плащането е неизбежно. Но златното правило е, че плащанията на ransomware откупи стимулират престъпниците и затварят порочният кръг. Професионалистите в областта на киберсигурността са на мнение, че плащането на откуп трябва да бъде криминализирано.

     

Back to top button
Close