Криптовируси

  • Незабавно се защитете срещу ProxyShell узвимост

    Рансъмуер експлоатира наскоро разкрита ProxyShell уязвимост на Microsoft Exchange сървъри с цел хакване на корпоративни мрежи.

    Това е установила компанията за киберсигурност Sophos, докато е разследвала инцидент при свой клиент, от когото е поискан откуп.

    Степента на заплахата е класифицирана като „висока“. Престъпниците сканират постоянно интернет за жертви. След като ви набележат, могат да получат достъп почти незабавно и до часове да заразят мрежата ви. Следващата стъпка е получаване на администраторски достъп до домейна и изпълнение на злонамерени команди.

    Препоръки:

    • Актуализирайте възможно най-скоро локалния си Exchange Server; ако използвате стара версия, приоритетно мигрирайте към актуална и инсталитайте пачовете.
    • Приложите защита от злонамерен софтуер за своите сървъри – престъпниците преследват точно тях, защото знаят, че те не са толкова защитени, колкото крайните точки.
    • Проследявайте, документирайте и актуализирайт редовно администраторските права за достъп до сървърите ви.
  • Кибератака порази най-големия доставчик на месо в света

    Най-голямата компания за преработка на месо в света е била обект на сложна кибератака.

    Хак на компютърните мрежи в JBS временно е спрял работата на няколко поделения на компанията в Австралия, Канада и САЩ и е засегнал хиляди работници.

    Става дума за рансъмуер атака и поискан откуп. Компанията е разбрала за пробива на 31.05.2021 и веднага е спряла всички засегнати ИТ системи – смята, че резервните сървъри не са били хакнати.

    ИТ системите са от съществено значение за съвременните месопреработвателни предприятия, като компютрите се използват на няколко етапа, включително фактуриране и доставка.

    JBS е най-големият доставчик на месо в света с повече от 150 завода в 15 страни и 150 хил. служители. Сред клиентите на компанията са множество супермаркети и заведенията за бързо хранене McDonald’s. В САЩ JBS преработва почти 25% от говеждото месо в страната и 20% от свинското месо.

    Атаката може да доведе до недостиг на месо или повишаване на цените за потребителите.

    Миналият месец доставката на гориво в югоизточната част на САЩ спря за няколко дни, след като рансъмуер атака порази най-големия американски петролопровод.  Colonial Pipeline потвърди, че е платил 4,4 млн. USD откуп на киберпрестъпниците, които разследващите свързват с Русия.

  • 10 заблуди за киберсигурността

    Екипът на Sophos за бързо реагиране (Sophos Rapid Response team) е съставил списък с най-често срещаните погрешни възприятия за киберсигурността. Става дума за грешки на мениджърите / администраторите, с които специалистите от екипа са се сблъскали през последните 12 месеца, докато са неутрализирали и разследвали кибератаки в широк кръг организации.

    Десетте най-разпространени заблуди по отношение на киберсигурността, които Sophos опровергава са:

    Заблуда 1: Ние не сме цел – твърде малки сме и / или нямаме ценни активи

    Контрапункт: Повечето киберпрестъпници търсят лесна плячка и бърза финансова облага – те преследват пропуски в сигурността и погрешни конфигурации, които могат лесно да използват. Ако смятате, че вашата организация не е цел, вероятно не проверявате редовно мрежата си за подозрителна активност и може да пропуснете ранни признаци на кибератака.

    Заблуда 2: Нямаме нужда от усъвършенствани технологии за сигурност, инсталирани навсякъде

    Контрапункт: Ежедневно се увеличават техниките за атака, които заобикалят или деактивират софтуера за защита на крайните точки. Сървърите вече са цел номер едно за атака и нападателите могат лесно да намерят директен маршрут, използвайки откраднати идентификационни данни за достъп. Всички грешки в конфигурането, пачването или защитата правят сървърите уязвими, включително тези под Linux. Дори нападателите често инсталират задна врата (backdoor) на Linux машини, за да ги използват после като безопасни укрития за достъп до мрежата ви.

    Заблуда 3: Имаме непоклатими политики за сигурност

    Контрапункт: Да, наличието на политики за сигурност на приложенията и потребителите е много важно. Те обаче трябва да се проверяват и актуализират постоянно, тъй като към устройствата, свързани в мрежата, се добавят непрекъснато нови функции и функционалности.

    Заблуда 4: Можем да защитим RDP сървърите от нападатели чрез промяна на портовете, на които се намират, и въвеждане на многофакторно удостоверяване (MFA)

    Контрапункт: Сканирането на портове от страна на нападателите ще идентифицира всички отворени услуги, независимо къде точно се намират, така че смяната на портове, само по себе си, предлага малка или никаква защита.

    Колкото до въвеждането на MFA, то е важно, но няма да подобри сигурността, ако политиката не бъде приложена за всички служители и устройства.

    Заблуда 5: Блокирането на IP адреси от високорискови региони като Русия, Китай и Северна Корея ни предпазва от атаки, идващи от тези географски локации

    Контрапункт: Блокирането на IP адреси от определени региони е малко вероятно да навреди, но може да създаде фалшиво усещане за сигурност, ако разчитате само на него за защита. Нападателите хостват своята злонамерена инфраструктура в различни държави, включително САЩ, Холандия и останалата част на Европа.

    Заблуда 6: Нашите архиви ни осигуряват имунитет срещу въздействието на рансъмуера

    Контрапункт: Поддържането на актуални архиви е от решаващо значение за бизнеса. Ако обаче те са свързани към мрежата, остават в обсега на нападателите и са уязвими на криптиране, изтриване или деактивиране при рансъмуер атака.

    Ограничаването на броя на хората с достъп до вашите архиви може да не подобри значително сигурността, тъй като нападателите ще са прекарали време във вашата мрежа, търсейки точно тези хора и техните идентификационни данни за достъп.

    По същия начин и съхраняването на резервни копия в облака трябва да се извършва внимателно – при инцидент, разследван от Sophos Rapid Response, е разкрито, че нападателите са изпратили имейл до доставчика на облачни услуги от хакнат акаунт на ИТ администратор и са го помолили да изтрие всички архиви – доставчикът е удовлетвотил молбата!

    Стандартната формула за сигурни архиви, които могат да се използват за възстановяване на данни и системи след атака с рансъмуер, е 3:2:1: три копия на всичко, на две различни системи, едната от които е офлайн.

    Последна забележка: офлайн резервни копия няма да ви защитят от престъпници, които крадат и заплашват да публикуват вашите данни, дори и да не ги криптират.

    Заблуда 7: Нашите служители разбират киберсигурността

    Контрапункт: Според The State of Ransomware 2021, 22% от организациите вярват, че ще бъдат засегнати от рансъмуер през следващите 12 месеца, защото е трудно да се спрат крайните потребители да компрометират сигурността.

    Тактиките за социално инженерство като фишинг имейли стават все по-трудни за откриване. Съобщенията често са ръчно изработени, точно написани, убедителни и внимателно насочени.

    Заблуда 8: Екипите за реагиране при инциденти могат да възстановят данните ми след рансъмуер атака

    Контрапункт: Това е много малко вероятно. Днес атакуващите правят много по-малко грешки и процесът на криптиране се е подобрил, така че намирането на вратичка, която може да премахне щетите, се случва изключително рядко.

    Заблуда 9: Ако платя откуп ще си получа обратно данните, откраднати при рансъмуер атака

    Контрапункт: Според доклада State of Ransomware 2021, организация, която плати откуп, възстановява средно около две трети (65%) от своите данни. Само 8% получават обратно всичките си данни, а 29% възстановяват по-малко от половината.

    Освен това връщането на данните е само част от процеса по възстановяване – в повечето случаи рансъмуерът напълно деактивира компютрите и софтуера и системите трябва да бъдат вдигнати от нулата, преди да се стигне до възстановяване на данните. Проучването през 2021 г. показва, че разходите за съвземане на бизнеса са средно десет пъти по-големи от търсения на откуп.

    Заблуда 10: Криптирането изчерпва атаката – ако оцелеем, всичко е наред

    За съжаление това рядко е така. Чрез криптирането нападателите ви дават да разберете, че са там и какво са направили.

    Вероятно те са престояли във вашата мрежа в продължение на дни, ако не и седмици преди пускане на рансъмуера. Те са проучвали, деактивирали или изтривали резервни копия, открили са машини с ценна информация или приложения, които да криптират, премахнали са информация и са инсталирали задни врати… Продължителното присъствие в мрежата на жертвата позволява на нападателите да предприемат втора атака, ако пожелаят.

    Как да се справите с организирането на киберсигурността във вашата фирма, прочетете тук:

  • Атака с криптовирус затруднява ваксинирането срещу Covid-19 в Ирландия

    Последен ъпдейт на 19 май 2021 в 08:31 ч.

    Порталът за ваксини срещу Covid-19 в Ирландия е затворил принудително за един ден на 14 май, след атака с криптовирус,  описана като най-значимата в историята на държавата.

    Нападателите са поискали откуп, който обаче няма да бъде платен, в съответствие с държавната политика.

    Незабавно са изключени всички компютърни системи, като предпазна мярка за защита на мрежите на организацията от по-нататъшни атаки.

    Това е втората кибератака срещу ирландската здравна система за кратко време, която налага изключването на ИТ системи.

    Още в началото на пандемията ИНТЕРПОЛ предупреди, че се очаква ръст на кибератаките, насочени към здравни заведения и организации.

  • Криптовирус порази най-големия американски петролопровод

    Доставките на газ и дизел за Източното крайбрежие на САЩ са под въпрос, след като рансъмуер атака e спряла работата на най-големия петролопровод в страната.

    Операторът на съоръжението, Colonial Pipeline, е изключил проактивно определени ИТ системи, за да ограничи заплахата. Поделението за реагиране при инциденти на компанията за киберсигурност FireEye Inc. помага на разследването.

    Colonial Pipeline е ключова артерия за източната половина на САЩ. Той е основният доставчик на бензин, дизелово и реактивно гориво за Източното крайбрежие с капацитет от около 2,5 млн. барела на ден в системата му от Хюстън до Северна Каролина и още 900 хил. барела дневно до Ню Йорк.

  • Водещ IoT производител е ударен от криптовирус

    Рансъмуер атака спря дейността на водещия IoT (интернет на нещата) производител Sierra Wireless. Засегнати са ИТ системите на компанията и производствения процес. Към момента на публикуване на тази новина, уеб сайтът не е достъпен.

    https://www.sierrawireless.com/

     

    Компанията създава широк спектър от комуникационно оборудване – шлюзове, рутери, клетъчни модеми, модули и интелигентни решения за свързване за IoT устройства.

    Не се разкрива как е стартирала атаката и дали са засегнати данни на клиенти.

  • Криптовирус атакува Microsoft Exchange с експлойти на ProxyLogon

    След като стана известно, че хакери са използвали zero-day уязвимости, за да компрометират Microsoft Exchange сървъри, ежедневно научаваме за нови експлоатации.

    Предупрежденията на изследователите по киберсигурност, че хакът ще отвори вратата за атаки с криптовируси, се сбъдна: Засечен е нов рансъмуер, наречен „DearCry“, който атакува Microsoft Exchange с експлойти на ProxyLogon.

    Атаката се разпространява

    До момента киберспециалистите са открили жертви на криптовируса в САЩ, Люксембург, Индонезия, Ирландия, Индия и Германия.

    Детекторите на доставчиците на антивирусен софтуер са засекли множество разновидности на DearCry:

    • Ransomware/Win.DoejoCrypt [AhnLab]
    • Win32/Filecoder.DearCry.A [ESET]
    • Trojan-Ransom.DearCry.B [GDATA]
    • Ransom-DearCry [McAfee]
    • Ransom:Win32/DoejoCrypt.A [Microsoft]
    • DearCry [Rising]
    • Ransom/W32.DearCry [TACHYON]
    • Win32.DEARCRY [TrendMicro]
    • Ransomware.Dearcry [Webroot]

    Как DearCry криптира компютрите

    Проба от рансъмуера, анализирана от BleepingComputer, включва следния PDB път: C:\Users\john\Documents\Visual Studio 2008\Projects\EncryptFile -svcV2\Release\EncryptFile.exe.pdb

    Когато бъде стартиран, DearCry създава Windows услуга с име „msupdate“, която започва да криптира файлове със следните разширения:

    .TIF .TIFF .PDF .XLS .XLSX .XLTM .PS .PPS .PPT .PPTX .DOC .DOCX .LOG .MSG .RTF .TEX .TXT .CAD .WPS .EML .INI .CSS .HTM .HTML .XHTML .JS .JSP .PHP .KEYCHAIN .PEM .SQL .APK .APP .BAT .CGI .ASPX .CER .CFM .C .CPP .GO .CONFIG .PL .PY .DWG .XML .JPG .BMP .PNG .EXE .DLL .CAD .AVI .H.CSV .DAT .ISO .PST .PGD .7Z .RAR .ZIP .ZIPX .TAR .PDB .BIN .DB .MDB .MDF .BAK .LOG .EDB .STM .DBF .ORA .GPG .EDB .MFS

    Криптираните файлове получават допълнително разширение .CRYPT:

    Файлове, криптирани от DearCry
    Файлове, криптирани от DearCry

    Рансъмуерът използва AES-256 за криптиране на файловете и публичен ключ RSA-2048 за криптиране на AES. Също така добавя „DEARCRY!“ низ в началото на всеки заключен файл:

    Криптиран файл, маркиран от DearCry
    Криптиран файл, маркиран от DearCry

    След като приключи с криптирането на компютъра, рансъмуерът създава бележка за откуп с име „readme.txt“ на работния плот на Windows:

    Бележка за откуп от DearCry
    Бележка за откуп от DearCry

    Пачнахте ли Microsoft Exchange сървърите си

    Фирмата за киберсигурност Palo Alto Networks съобщава, че десетки хиляди Microsoft Exchange сървъри са ъпдейтнати в рамките на няколко дни. Съществуват обаче около 80 хил. по-стари сървъра, които не могат директно да приложат последните актуализации на защитата.

    Прочетете още: Над 61% от всички Microsoft Exchange Server не са пачнати срещу активно експлоатирана уязвимост

    Организациите, които използват Exchange, трябва да имат едно на ум, че може да са били компрометирани, преди да закърпят системите си. Все пак знаем, че хакерите са експлоатирали zero-day уязвимостите „in the wild“ в продължение на поне два месеца преди Microsoft да пусне корекциите на 2 март 2021 г.

    Препоръки

    Приложете корекциите незабавно и създайте офлайн резервни копия на своите Exchange сървъри. Не само за да защитите пощенските си кутии от кражба, но и за да предотвратите тяхното криптиране.

    Не неглижирайте и възможността в инфраструктурата ви вече да „живее“ недоброжелател – разгледайте и приложете стъпките, които Microsoft препоръчва за смекчаване на последиците:

  • Maze Ransomware – криптира и изнудва: Коварен враг, от когото ще ви помогнем да се предпазите

    Последен ъпдейт на 18 декември 2020 в 08:08 ч.

    През 2020 семейството на криптовируса Maze придоби печална известност, застрашавайки бизнеса на десетки организации. Сред жертвите на зловредния софтуер са LG, Xerox, Southwire и град Пенсакола.

    Целта ни е да ви запознаем по-подробно с този опасен и многолик криптовирус, за да можете да изградите по-добре вашата защита.

    В никакъв случай не подценявайте криптоатаките. Освен че могат да ви откраднат ценна информация, могат да ви изнудват за пари и чрез публикуването й или продажбата й на конкуренти. И в двата случая може да се стигне до загуба на репутация, влошаване на бизнес отношения, огромни финансови загуби, а и глоба по GDPR.

    Млад, но амбициозен ransomware

    За Maze чухме едва през първата половина на 2019 г. По това време той дори нямаше ясно изразена следа (ransomware note). Наречен е от изследователите „ChaCha ransomware“, защото съдържа в заглавието си „0010 System Failure 0010“.

    Една от първите бележки за откуп (Ransom note) на Maze/ChaCha
    Една от първите бележки за откуп (Ransom note) на Maze/ChaCha

    Много скоро новите версии започнаха да се наричат ​​Maze. Злонамерените лица зад криптовируса създадоха сайт, който да „подпомага“ техните жертви в плащането на откуп за декриптиране на файловете им.

    Уебсайтът, използван от скорошна версия на Maze
    Уебсайтът, използван от скорошна версия на Maze

    Разпространява се чрез спам / фишинг кампании

    Тактиката за разпространение на Maze първоначално включва заразяване чрез експлойт комплекти (Fallout EK и Spelevo EK) и спам със злонамерени прикачени файлове.

    Пример за фишинг имейл с прикачен зловреден файл
    Пример за фишинг имейл с прикачен зловреден файл

    Когато получателят отвори прикачения документ, той бива подканен да активира режима за редактиране (Enable Edit) и съдържанието (Enable Content). Ако потребителя се подлъже и избере тези опции, злонамереният макрос, съдържащ се в документа, се изпълнява и заразява компютъра на жертвата с Maze.

    Maze-ransomware-enable-content

    Персонализиран подход

    За кратко време Maze започна да прилага индивидуален подход при атаките на корпорации и държавни организации, за да е по-успешен и да увеличи печалбите си от изнудване.

    Някои атаки стартират с  таргетиран фишинг и завършват с инсталиране на Cobalt Strike RAT, докато в други случаи пробивът на мрежата е резултат от експлоатация на уязвима интернет услуга (напр. Citrix ADC / Netscaler или Pulse Secure VPN). Слабите пароли за достъп до RDP на машини, достъпни от интернет, са друг недостатък, който Maze използва.

    Рансъмуерът прилага различни тактики при ескалация на привилегии, разузнаване и компрометиране на други машини в мрежата (т.нар. Lateral Movement). Използва инструменти като mimikatz, procdump, Cobalt Strike, Advanced IP Scanner, Bloodhound, PowerSploit.

    По време на тези междинни етапи, злонамерените лица се опитват да локализират ценна информация, която може да се съхранява на сървърите и работните станции в компрометираната мрежа. След това те източват поверителните файлове на жертвата, за да ги използват за договаряне на откуп.

    На финала Maze се инсталира на всички машини, до които злонамерените лица имат достъп. Следва криптиране на ценните данни на жертвата, с което работата на криптовируса е свършена.

    Изтичане на информация / Изнудване

    Това, с което нашумя Maze е, че утвърди нова тенденция при криптовирусите. Те започнаха да заплашват да разкрият поверителните данни на жертвите си ако те откажат да платят откуп. Този подход се оказа много доходоносен за престъпниците и започна да се използва от редица престъпни групи, занимаващи се с криптовируси – REvil/Sodinokibi, DoppelPaymer, JSWorm/Nemty/Nefilim, RagnarLocker, Snatch .

    Авторите на Maze поддържат и уебсайт, където изброяват последните си жертви и публикуват частично или изцяло (в случай на отказ да се плати откуп) извлечената информация.

    Уебсайт с изтекли данни на жертвите, публикувани от злонамерените лица зад Maze
    Уебсайт с изтекли данни на жертвите, публикувани от злонамерените лица зад Maze

    „Картел за изнудване“

    През юни 2020 г. Maze се обедини с LockBit и RagnarLocker и образува „картел за изнудване“.  Данните, откраднати от тези групи се публикуват в блога, поддържан от злонамерените лица зад Maze.

    Изглежда, че престъпниците споделят помежду си не само хостинг на ексфилтрирани документи, но и опита си от компрометиране на различни инфраструктури. За това говори фактът, че Maze започна да използва техники, които преди това се използваха само от RagnarLocker.

    Кратък технически преглед на Maze

    Криптовирусът Maze обикновено се разпространява като обфускиран PE файл (EXE или DLL), написан на C/ C++. Той използва най-различни похвати, за да избегне статичен и динамичен анализ. Например, динамично импортване на API функции е само един от похватите за избягване на статичен анализ, а за да избегне динамичния – Maze убива процеси, които често се използват от специалистите по информационна сигурност – procmon, procexp, ida, x32dbg и др.

    Криптографската схема на Maze се състои от няколко нива:

    1. За да шифрова съдържанието на файловете на жертвата, троянският кон генерира уникални ключове и nonce стойности, които да се използват с поточния шифър ChaCha
    2. Ключовете ChaCha и стойностите nonce са криптирани от публичен RSA-2048-битов ключ, който се генерира при стартиране на зловредния софтуер
    3. Частният RSA-2048-битов ключ на сесията е криптиран от публичния RSA-2048, който се кодира в тялото на троянския кон

    Схемата е вариация на типичен подход, използван от разработчиците на съвременен рансъмуер. Тя позволява на операторите да пазят своя частен RSA ключ в тайна, когато продават декриптори за всяка отделна жертва, а също така гарантира, че декриптор, закупен от една жертва, няма да помогне на друга.

    Когато бъде изпълнен на една машина, рансъмуерът Maze ще иска да определи какъв компютър е заразил. Той се опитва да прави разлика между различни видове системи – сървър за съхранение на резервни копия (backup server), домейн контролер (domain controller), сървър без централизирано управление/AD (standalone server) и др. Използвайки тази информация в бележката за откуп, троянецът има за цел допълнително да изплаши жертвите и да ги накара да си мислят, че престъпниците знаят всичко за засегнатата мрежа.

    Стрингове, които Maze използва, за да генерира ransomware note
    Стрингове, които Maze използва, за да генерира ransomware note

     

    Фрагмент от процедурата, която генерира бележка за откуп
    Фрагмент от процедурата, която генерира бележка за откуп

    Как да се предпазим от заразяване с Maze (или други криптовируси)?

    Рансъмуерът се развива всеки ден и атаките стават по-мащабни и разрушителни. Това означава, че вашата защита трябва да бъде подготвена да издържи на всеки един етап от атаката.

    Няма един единствен метод, чрез който да се предпазите, а трябва да следвате добрите практики в информационната сигурност, част от които са :

  • Хакнат Facebook акаунт е използван за изнудване на жертва на рансъмуерa Ragnar Locker

    В началото на ноември 2020 г. стана известно, че рансъмуерът Ragnar Locker е хакнал италианската компания за алкохолни напитки Campari Group. Производителят на Aperol, Campari, Cincano и много други съобщи, че не е напълно изключено да са откраднати някои лични и бизнес данни.

    Престъпната група зад Ragnar Locker отговори на изявлението, като пусна във Facebook рекламна кампания, гласяща: „Това е нелепо и изглежда като голяма дебела лъжа“. Хакерите разкриват, че откраднатото от Campari Group е всъщност 2 TB чувствителни данни, а поисканият откуп е 15 млн. USD в биткойн.

    Самата кампания е проведена през компрометиран Facebook акаунт. Достигнала е до над 7 хил. потребители на Facebook и е генерирала 770 кликания. Титулярът на хакнатия акаунт е споделил, че единствено за него не е приложил многофакторна автентикация (MFA).

    Случилото се показва, че някои групи криптовируси са станали особено агресивни в последно време, притискайки жертвите си да платят.

    От Facebook разследват дали става дума за изолиран инцидент или измамниците провеждат кампании и през други хакнати акаунти в социалната мрежа.

    Препоръка:

    За да предпазите собствените си лични данни, използвайте многофакторна автентикация навсякъде, където това е възможно.

  • Хакери използват Google Drive за заразяване на болници с ransomware

    Злонамерени линкове към документи в Google Drive са били изпратени по имейл до множество американски здравни заведения във фишинг кампания. Кликането върху връзките е станало причина за заразяване на получателите с Ryuk ransomware. Атаката е затруднила засегнатите центрове да предоставят адекватни здравни грижи на пациентите си.

    Sophos сигнализира, че Ryuk използва заразени документи на Google Drive, за да достави първоначалния си зловреден софтуер. Хакерите разчитат, че винаги ще се намери служител, който да кликне върху злонамерения линк и да активира кибератаката.Анализаторите отчитат, че Ryuk е отговорен за една трета от всички атаки с рансъмуер от началото на 2020 г.

    В края на октомври 2020 г. Microsoft, ФБР, Министерството на здравеопазването и социалните услуги и Министерството на вътрешната сигурност на САЩ съвместно издадоха поредното предупреждение за случващото се. Те сигнализираха, че ransomware е все по-агресивен към болници и други здравни организации.

Back to top button