Криптовируси

  • След Honda, и Enel стана жертва на криптоатака

    Нова значима атака с криптовирус, насочена към корпоративен гигант в рамките на една седмица. Жертва този път е аржентинското подразделение не енергийната компания Enel.

    Отново става дума за SNAKE софтуер, сочи разследване на Malwarebytes.

    Засегната е дъщерната компания на Enel в Аржентина – Edesur S.A., като атаката е затруднила обслужването на клиентите по телефона, социалните мрежи и използването на виртуалния офис.

    Подобна ransomware атака причини и частичното спиране на производството на автомобилостроителната компания Honda.

    [button color=“green“ size=“big“ link=“https://threatpost.com/snake-ransomware-honda-energy/156462/“ target=“true“ nofollow=“false“]Прочетете повече по темата тук[/button]

     

    В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • Фалшиво решение за декриптиране на STOP Djvu Ransomware криптира повторно файлове на жертвите си

    Поредното доказателство, че не трябва да се доверяваме сляпо на всичко, което пише в интернет е факт. Става въпрос за мнимо решение за декриптиране на файловете, засегнати от STOP Djvu Ransomware.

    Казусът: вместо да решава проблеми, то създава нови такива и криптира още веднъж вече криптираните от зловредния код файлове.

    Ежедневно STOP Djvu поразява средно 600 потребителя. Това е повече, отколкото жертвите на Maze, REvil, Netwalker и DoppelPaymer взети заедно. Изброените зловредни кодове са и най-печелившите в момента от гледна точка „оборот“, генериран на база събраните откупи от жертвите.

    Научете повече за новото поколение криптовируси тук.

    [button color=“green“ size=“big“ link=“https://nakedsecurity.sophos.com/2020/06/08/double-crossing-ransomware-decryptor-scrambles-your-files-again/“ target=“true“ nofollow=“false“]Прочетете повече по темата тук[/button]

     

    В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • Honda спря частично производството заради атака с криптовирус

    Последен ъпдейт на 11 юни 2020 в 07:24 ч.

    Японската автомобилостроителна компания Honda е станала жертва на атака с криптовирус, довела до частично спиране на производството ѝ. Най-вероятно е използвано ransomware семейството SNAKE. От компанията съобщават, че няма доказателства за изтичане на лични данни на клиентите ѝ.

    Атаката е дошла от европейското подразделение на организацията. От публикация по темата в BleepingCompuer може да се предположи, че става въпрос за таргетирани действия срещу организацията. Причината: в семпъл, публикуван във VirusTotal, се вижда, че зловредният код търси вътрешна мрежа с името mds.honda.com, а при опит за стартирането му в sandbox, не се криптират никакви файлове и приложението просто спира.

    Засегнати са няколко завода, както и финансовото подразделение на автомобилопроизводителя.

    Освен, че опитва да криптира файловете на засегнатите работни станции, SNAKE източва информацията от тях. Така хакерите разполагат с 2 инструмента за изнудване – от една страна се иска откуп за декриптиране на файловете, а от друга – за запазването на конфиденциалността им.

    [button color=“green“ size=“big“ link=“https://www.bleepingcomputer.com/news/security/honda-investigates-possible-ransomware-attack-networks-impacted/“ target=“true“ nofollow=“false“]Прочетете повече по темата тук[/button]

     

    В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • Нова тактика: ransomware се крие от антивирусната защита с виртуална машина

    Втора значима нова тактика в разпространението и прикриването на криптовируси (ransomware) от началото на 2020 г. налагат създателите на RagnarLocker. Те използват Oracle VirtualBox със заредена виртуална машина Windows XP, за да скрият своето присъствие от наличния антивирусен софтуер.

    С инсталирането на Oracle VirtualBox, авторите на зловредния код стартират виртуална машина на инфектираните компютри. Така криптовирусът се изпълнява в „защитена, контролирана среда“, която [highlight color=“gray“] е извън обсега на антивирусния софтуер, работещ върху физическата (хост) машина [/highlight].

    Прочетете още: Нов вид криптовируси: крадат и изнудват

    Този интересен подход бе забелязан и подробно описан от британската фирма за киберсигурност Sophos и показва креативността и големите усилия, на които са способни хакерските групи, за да останат незабелязани, докато инфектират своята жертва.

    Какво е RagnarLocker?

    Идеята зад прикриване на присъствието е от критично значение за RagnarLocker. Те не са просто типичната хакерска групировка, която криптира всеки и каквото им попадне. Те внимателно подбират своите жертви, като избягват крайни потребители и се целят единствено в корпоративни и държавни организации.

    Според Sophos, основните техники за подбор на жертвите от страна на RagnarLocker са се състояли в компрометиране на отворен RDP порт на ниво работна станция и компрометиране на инструменти, използвани от MSP (Managed Service Providers). По този начин хакерите си осигуряват достъп до вътрешните мрежи и ресурси на засегнатата компания.

    Веднъж придобила достъп до вътрешната мрежа, групировката пуска конкретна версия на своя криптовирус. [highlight color=“gray“] Тя варира и е специфична за всяка една жертва. [/highlight]След заразата, RagnarLocker изискват огромна сума за декриптирането на информацията в размер на десетки или стотици хиляди американски долари.

    Тъй като всяка една от тези внимателно планирани атаки представлява шанс за спечелване на огромна суми пари, RagnarLocker основно залагат на оставането им под прикритие в засегнатите мрежи. Това е и причината за създаването на този хитър „фокус“, чрез който да избегнат засичането от антивирусен софтуер.

    Магията с виртуалната машина

    Т.нар. „фокус“ всъщност е много прост, но, същевременно, хитър подход.

    Вместо да стартират криптовируса директно на компютъра-жертва, от RagnarLocker свалят и инсталират Oracle VirtualBox, широкоразпространен софтуер за виртуализация.

    Те конфигурират виртуалната машина, като ѝ задават пълен достъп до всички локални и споделени папки и локации и по този начин ѝ осигуряват права за манипулиране на файлове, които се съхраняват извън нейния локален диск.

    Следващата стъпка се състои в стартиране на виртуалната машина, като за целта се стартира орязана версия на Windows XP SP3, наречена MicroXP v0.82.

    Последната фаза на атаката е да се зареди криптовируса във виртуалната машина и да се изпълни. Тъй като кодът работи в самата виртуална машина, антивирусният софтуер няма да открие злонамерения процес.

    От гледна точка на антивирусния софтуер, файловете намиращи се на локалната файлова система, както и тези на споделените папки, изведнъж ще бъдат подменени с техните криптирани версии, а всички модификации на тези файлове ще идват от легитимен процес – а именно програмата VirtualBox.

    За повече информация препоръчваме да прочетете детайлния репорт на Sophos, който освен криптовируса RagnarLocker, разглежда и техниката с виртуалната машина.

  • Най-големият частен оператор на болнични услуги в Европa стана жертва на ransomware

    Криптовирус стана причина за временно забавяне на работата на най-големия европейски частен болничен оператор и основен доставчик на диализни продукти и услуги Fresenius.

    Атаката е засегнала едно от четирите подразделения на организацията – Fresenius Kabi (доставчик на медикаменти и медицински устройства). Компанията все още се бори с последиците от заразата, уведомила е разследващите органи и продължава да полага грижи за своите пациенти. Няма официална информация за използвания зловреден код и дали е поискан откуп.

    Как е осъществена атаката

    Според блога за информационна сигурност KrebsOnSecurity Fresenius е засегната от Snake Ransomware. Зловредният код е използван за атаки предимно срещу големи организации. Той взима за „заложници” ИТ системите и данните им в замяна на плащане на откуп под формата на криптовалути.

    Атаката срещу Fresenius идва на фона на все по-целенасочени атаки срещу доставчици на здравни услуги на първа линия за реагиране на пандемията COVID-19, за която предупреди Интерпол през април.

    През изминалата седмица предупреждения за зачестили ransomware-атаки, насочени към организации, работещи в областта на здравеопазването, оповестиха и Агенцията за кибер- и инфраструктурна сигурност на САЩ (CISA) и Националният център за киберсигурност на Великобритания.

    В сигналите се споменава, че пандемията вероятно предизвика допълнителен интерес у киберпрестъпниците да събират информация, свързана с COVID-19, например разузнавателна информация за националната и международната политика в областта на здравеопазването или чувствителни данни за изследвания, свързани с COVID-19.

    Организирано средство за изнудване

    Доскоро подобни ransomware-атаки бяха смятани за единични нападения с цел получаване на откуп. Напоследък обаче те се превръщат в основна причина за изтичане на данните на редица организации, станали тяхна жертва. Според Лорънс Ейбрамс (Bleeping Computer) атаката срещу Fresenius вероятно е част от по-мащабна Snake Ransomware кампания, която набира голяма скорост през последната седмица.

    Прочетете и: Екраните почерняваха един след друг… Или неразказната история на NotPetya

    Базирана в Германия група Fresenius включва четири независими компании, работещи в различни критични сфери на здравеопазването, с близо 300 хил. души персонал в повече от 100 държави. Компанията предоставя продукти и услуги за диализа с близо 40 процента от пазарния дял в САЩ. Вече е известно, че COVID-19 причинява бъбречна недостатъчност при много пациенти, което води до недостиг на диализни машини и консумативи и до повишено търсене на услугите на Fresenius.

  • Ransomware. Да платиш или не, това е въпросът

    Последен ъпдейт на 4 май 2020 в 12:08 ч.

    М ного сме говорили, чували и писали за криптовируси и за това как, в зависимост от обстоятелствата, престъпниците променят своята стратегия за да осребрят нещастието на своите жертви.

    Въпреки разнообразието от криптовируси и техните възможности за адаптация, съществуват доказано добри практики, при чието прилагане вероятността за инцидент е близка до нула. Все още обаче, се оказва, че криптовирусите остават печелившо перо в портфолиото на киберкриминалния контингент.

    Грешен подход на жертвите

    Причината за този успех е проста. Жертвите обикновено действат на принципа „Това едва ли ще се случи на мен/нас!“. Тоест, игнорирали са опасността, като погрешно са преценили вероятността точно те да бъдат поредните „донори“ на bitcoin или друга криптовалута, в името на това да получат своята информация обратно и да я запазят конфиденциална. Не вземането на превантивни мерки трансформира въпроса от „Дали ще ни криптират?“ в „Кога ще ни криптират?

    В случай, че все пак се окажем жертви… колко би ни струвало да си върнем информацията и контрола върху ситуацията? Отговорът, измерен във време и парични средства, зависи от много фактори, както и от това дали ще платим откупа или ще предпочетем да започнем всичко отначало.

    Пресни примери

    Два пресни случая дават реална представа чрез цената, която са платили Travelex и  очарователният американски град Балтимор. Те са станали жертва на криптовируси и предприели различни стратегии за справяне със ситуацията.

    В средата на април стана известно, че Travelex са платили близо 2.3 млн. USD откуп, след като в навечерието на 2020 г.  криптовирусът Sodinokibi превзема цялата им мрежа. След атаката 1 200 представителства на компанията в над 70 държави остават без ИТ инфраструктура, принуждавайки ги да минат към „ръчен режим“ на работа.

    Заразата засяга и голяма част от уеб сайтовете и мобилното им приложение, което създава допълнителни проблеми с крайни клиенти и партньорски дружества като – Barclays, First Direct, HSBC, Sainsbury’s Bank, Tesco и Virgin Money.

    След явно неуспешни опити да се справят сами, през целият месец януари Travelex вземат решение да платят откупа, искан от престъпниците. Въпреки че съществуват регулации като  GDPR и калифорнийската CCPA, не малка част от компаниите, станали жертви на подобни кибер атаки, предпочитат да запазят мълчание. С него те обикновено се надяват да останат встрани от медийното и публично внимание и да си спестят щетите, свързани със загуба на репутация. Тази стратегия често има обратен ефект.

    Общински неволи

    След вълната успешни криптовирусни атаки срещу американски градове и общини, довела до неколкократно плащане на откупи, градоначалниците на Балтимор решават, че няма да платят поискания 76 хил. USD (в bitcoin) откуп. Преди близо година киберпрестъпниците използват зловреден код, известен под името RobbinHood, за да атакуват сървъри, уеб сайтове и електронни услуги, свързани с живота в града.

    Жителите и бизнесът на Балтимор са „осакатени“ – засегнати са плащания на данъци, комунални услуги и сделки с имоти. В крайна сметка, щетите и мерките взети за да не се повтори този неприятен епизод струват близо 18 млн. USD! В тази цифра са включени и пропуснати ползи за общината, киберзастраховка и инвестиции в областта на киберсигурността.

    Изводът от тези два инцидента и други подобни е ясен – инфектирането с криптовирус не е приятно, нито пък евтино „хоби“. [highlight color=“yellow“]Проактивната защита и план за възстановяване при бедствени събития (disaster recovery plan) са две от „съставките на правилната рецепта“ за справяне с криптовирусите[/highlight].

    Някои хора биха си извадили погрешни изводи, че сметката не излиза и е по–добре подкупът да бъде платен. Да, чисто финансово може и да е така, особено в някои редки случаи, когато бъдещето на компанията е под въпрос, плащането е неизбежно. Но златното правило е, че [highlight color=“yellow“]плащанията на ransomware откупи стимулират престъпниците и затварят порочният кръг[/highlight]. Професионалистите в областта на киберсигурността са на мнение, че плащането на откуп трябва да бъде криминализирано.

     

  • ИНТЕРПОЛ предупреждава за увеличаване на броя ransomware-атаки срещу болници

    ИНТЕРПОЛ е поредната организация, която предупреди болниците за кибератаки, които могат да доведат до принудително спиране на дейността им в условията на пандемия.

    Организацията наблюдава нарастване броя на опитите на киберпрестъпници да блокират критични болнични системи, дори в текущото глобално извънредно положение. Новината не е изненада, въпреки обещанието на различни хакерски организации, че няма да има атаки срещу здравни и медицински организации по време на пандемията.

    Вълната предупреждения бе подета от Microsoft, която обяви, че е започнала да изпраща таргетирани сигнали до десетки болници за уязвими публични VPN устройства. Според компанията, тези устройства могат да бъдат използвани за разпространението на ransomware-атаки.

    ИНТЕРПОЛ, от своя страна, чрез екипа си Cybercrime Threat Response (CTR), работи в тясна връзка с помощни органи и правоприлагащи организации от ЕС. Целта е смекчаване на последствията и защита от такива атаки, които, насочени към болници, дори могат директно да причинят смърт в днешната безпрецедентна ситуация.

    ИНТЕРПОЛ препоръчва на болниците и лечебните заведения винаги да актуализират софтуера и хардуера си и да архивират данните си на офлайн устройства за съхранение, с цел блокиране на потенциалните атаки.

    [button color=“green“ size=“big“ link=“https://www.bleepingcomputer.com/news/security/interpol-ransomware-attacks-on-hospitals-are-increasing/“ target=“true“ nofollow=“false“]Прочетете повече по темата тук[/button]

     

    В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • Microsoft предупреждава болниците да се пазят от криптовируси

    Последен ъпдейт на 8 април 2020 в 10:10 ч.

    Microsoft са започнали да предупреждават болници за потенциално уязвими VPN устройства, които са цел на хакерски организации, разпространяващи криптовирусите REvil (Sodinokibi), DoppelPaymer и криптовируса Ragnarok.

    Заразата с ransomware може да доведе до принудително спиране на дейността на болниците. Действие, което предвид натовареността на лечебните заведения заради пандемията с COVID-19, може да се окаже критично и да доведе до загуба на човешки животи.

    Споменатите криптовируси са известни и с „иновативния“ си начин на действие – преди да криптират, те източват вашата информация, за да могат да ви изнудват с публикуването й, споделянето й на конкуренти или излагането й на обществено място с цел да спечелят пари. DoppelPaymer и REvil (Sodinokibi) дори имат собствени платформи, на които публикуват данни, източени от жертвите си, отказали да платят откуп.

    Повече за мерките, които препоръчват от компанията, прочетете тук.

    [button color=“green“ size=“big“ link=“https://www.microsoft.com/security/blog/2020/04/01/microsoft-works-with-healthcare-organizations-to-protect-from-popular-ransomware-during-covid-19-crisis-heres-what-to-do/“ target=“true“ nofollow=“false“]Прочетете повече по темата тук[/button]

     

    В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • Android приложение използва COVID-19 за sextortion и разпространение на криптовируси

    Последен ъпдейт на 24 март 2020 в 11:41 ч.

    Фалшиво Android приложение, твърдящо, че следи разпространението на COVID-19 (коронавирус) по света изнудва свалилите го и се опитва да инсталира криптовирус на устройствата им.

    COVID 19 TRACKER твърди, че предоставя възможност на потребителите си да „следят разпространението на заразата до собствените им улици“ и да получават „статистика за COVID-19 в над 100 държави по света“. Твърди се, че приложението е препоръчано от Световната Здравна Организация и американския Център за контрол и превенция на заболяванията.

    След свалянето си, COVID 19 TRACKER иска позволение от собственика на устройството да работи непрекъснато във фонов режим. Малко след инсталирането си, приложението изкарва екран, в който твърди, че устройството е хакнато – а хакерът има записи на собственика, докато се наслаждава на сайтове за възрастни (sextortion). За да не бъдат направени тези записи публични, се очаква заплащането на откуп.

    Паралелно, софтуерът заключва екрана на засегнатото устройство и иска откуп за отключването му.

    [button color=“green“ size=“big“ link=“https://nakedsecurity.sophos.com/2020/03/18/android-malware-uses-coronavirus-for-sextortion-ransomware-combo/“ target=“true“ nofollow=“false“]Прочетете повече по темата тук[/button]

    В рубриката Новините накратко подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • Английска община се принуди да се върне към работа на хартия заради кибератака

    Администрацията на общината Редкар енд Кливлънд (Redcar and Cleveland, Североизточна Англия) се принуди да се върне към работа на хартия заради кибератака, започнала на 8 февруари.

    Към момента служителите на администрацията продължават да разчитат само на хартия и химикал, обработват единствено най-спешните имейли, а никой не се е ангажирал със срок за разрешаване на проблемите, възникнали след атаката.

    Това е поредната атака срещу държавна администрация, която води до принудително спиране на функциите й. През януари 2020 г. бяха засегнати няколко училища в Калифорния. През ноември 2019 г. – компания, управляваща 110 дома за социални грижи. През септември 2019 г. – администрацията на Ню Бедфорд в Масачузетс. През юни 2019 г. криптовирус спря работата на 4 болници в Румъния.

    Прочетете повече за тенденциите при криптовирусите: Нов вид криптовируси: крадат и изнудват

Back to top button