Ransomware

  • Атаката срещу Garmin: ransomware, 10 млн. USD откуп и други слухове

    Около 72 часа по-късно и след безброй слухове, извънредната ситуация в Garmin изглежда овладяна, а услугите на компанията отново функционират нормално. А въпросите около случилото се тепърва започват.

    В този текст няма да коментираме слухове или спекулации – защото такива не липсват – а по-скоро ще извлечем част от уроците от случилото се с Garmin. Съвсем накратко, какво знаем:

    • 23 юли, около обед източно-американско време. Атаката срещу Garmin започва. Редица услуги на компанията, сред които Garmin Connect, garmin.com и колцентровете на компанията спират принудително работа
    • Малко след началото на проблемите, Garmin публикува официално съобщение в Twitter акаунта си, но не цитира причината за спирането на услугите си
    • Редица публикации в онлайн медии твърдят, че атаката срещу компанията е дело на Evil Corp, които са успели да заразят Garmin с криптовирус, заключили са ключови за компанията файлове и системи и са поискали 10 млн. USD откуп за възстановяването им. За източници се посочват служители на компанията, вътрешни мемота от ИТ екипите ѝ, включително и скрийншоти, за които се твърди, че са от засегнатите машини
    • Официалната позиция на компанията е, че не са източени лични данни на клиенти
    • Възстановяването на услугите на компанията отне няколко дни,

    Какви са част от научените уроци:

    1. Няма твърде голяма или малка компания, която да не е интересна за киберпрестъпниците
    2. Криптовирусите далеч не са преминали пика си – дори обратното. Само за предпоследната седмица на юли са засечени няколко атаки срещу мащабни организации като Garmin. Още през април ИНТЕРПОЛ предупреди за ръст в ransomware атаките. А новите тактики за разпространение не спират. Например, създаването на специална виртуална машина, с цел маскиране на заразата.
    3. Бекъпът е задължителен. И не само, защото според Trend Micro 33% от засегнатите организации никога не получават файловете си обратно – а защото не се знае дали това възстановяване няма да е твърде късно

     

     

  • REvil ъпдейтна бизнесмодела си: вече предлага крадена информация на търг

    Неведнъж сме разказвали на групата REvil / Sodinokibi – едни от добилите популярност в началото на 2020 г. криптовируси, които източват данните на жертвите си преди да ги криптират. 

    Всяко ново появяване на това ransomware семейство е запомнящо се, защото добавя нов щрих към измамата: 

    • Първоначално групата стана известна с това, че подсигурява печалбата си от две страни – или плащате за декриптиране на данните си или за да не попаднат те в ръцете на конкуренцията. При всички случаи REvil печели. 
    • По-късно през годината „семейството“се сдоби със собствена платформа. На нея, под формата на каталог, се публикува откраднатата информация от жертвите, които не са платили откупите си. Така пазарният дял е гарантиран. 
    • В началото на юни 2020 г. REvil добави черешката на тортата – функция за анонимно наддаване за откраднатата информация. А първите аукциони са вече факт. 

    Сред жертвите, чиито данни са били продадени на търг, са дистрибутор на храни, адвокатска кантора и дружество за интелектуална собственост, всички в САЩ.  

    Спечелилите наддаването плащат, разбира се, с криптовалутаПри това, изглежда, че страните се ползват с взаимно доверие, тъй като не би било възможно да се поиска възстановяване на сумата в случай на недоставяне на заплатената информация. 

    Продължаване да следим развитието на REvil и ни се иска този бизнес нюх да бъде вложен в положителна кауза. 

    Прочетете повече по темата тук

     

    В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • Как RIPlace елиминира конвенционалните защити от криптовируси

    Нова техника за разпространение на криптовируси елиминира защитата на повечето съвременни антивирусни решения само с няколко реда код. Става въпрос за RIPlace, която е поредното нововъведение в ransomware.

    Техниката е разкрита от изследователите по киберсигурност Daniel Prizmant, Guy Meoded, Freddy Ouzan и Hanan Natan от Nyotron още в през 2018 г. След като уведомили всички засегнати разработчици на приложения, операционни системи и антивирусен софтуер, включително и Microsoft, обаче, анализаторите получили лаконичен отговор. Нещо от сорта на: щом дотогава никой криптовирус не е използвал тази техника, уязвимостта се класифицира като „незначима“.

    Наскоро обаче дебютира Thanos – първият криптовирус, който използва RIPlace.

    В кореспонденция между Nyotron и BleepingComputer, Nyotron  са тествали RIPlace срещу голям брой разработчици на антивирусен софтуер, включително Microsoft, Symantec, Sophos, McAfee, Carbon Black, Kaspersky, Crowdstrike, PANW Traps, Trend Micro, Cylance, SentinelOne, и Malwarebytes. Единствено Kaspersky и Carbon Black са направили нужните промени в техния антивирусен софтуер, за да елиминират изпълнението на тази техника.

    Преодоляване на ransomware защитата от RIPlace

    Според Nyotron, криптовирусите използват 3 различни техники, за да криптират информацията на жертвата и по този начин да подменят легитимната информация с криптирана такава. Обикновено, най-често използвани са методи #1 и #2:

    1. Записване на криптираните данни от паметта в оригиналния файл.
    2. Записване на криптираните данни от паметта в нов файл и след това изтриване на стария (легитимния) файл.
    3. Записване на криптираните данни от паметта в нов файл и след това с помощта на т.нар. “Rename call” се заменя оригиналния файл.

    За да бъде успешно предотвратена една атака от ransomware, всичките три опции трябва да бъдат защитени от филтриращият драйвер на антивирусния софтуер.

    От Nyotron откриха, че изпълнението на вариант 3 за подмяна на файлове и извършването му по специален начин, позволява да се заобиколи защитната функция, както е показано по-долу:

    Различни методи за запазване на криптираните файлове

     

    RIPlace работи, използвайки функцията „DefineDosDevice“, за да създаде DOS устройство, като например \\.\RIPlace, което след това сочи (links) към криптирания файл. Впоследствие DOS устройството се подава като целеви път за Rename функцията. Тъй като име на DOS устройство не се очаква, това води до връщане на грешка за това изпълнение. Така драйверът MiniFilter (който е част модула за защита от ransomware) вижда грешка и не блокира нищо, но въпреки това Rename преминава успешно.

    В крайна сметка, от гледна точка на разработчиците на криптовируси, са необходими промени на няколко реда код, за да се заобиколят наличните защитни модули.

    Въпреки че промените са доста прости, може да са нужни малко повече усилия в сравнение с използването на нормалните методи, но това ще трябва да бъде допълнително тествано, за да се знае със сигурност.

    RIPlace срещу Controlled Folder Access в Windows 10

    Controlled Folder Access (CFA) осигурява защита на ценна информация от злонамерени приложения и заплахи, като например криптовируси. Всички приложения (всеки изпълним файл, включително .exe, .scr, .dll, word файлове и други) се оценяват от Microsoft Defender Antivirus, който след това определя дали приложението е злонамерено или безопасно. Ако приложението е класифицирано като злонамерено или подозрително, няма да бъде позволено то да прави промени по който и да е файл, намиращ се в защитена папка, дефинирана в CFA.

    От Nyotron създадоха видео, в което се демонстрира заобикалянето на CFA използвайки RIPlace. За повече информация може да посетите сайта на Nyotron, където има създадена специална страница за RIPlace.

    BleepingCmputer, използвайки RIPlace, също заобиколиха CFA, като за доказателство (Proof-of-concept) са публикували подробни снимки на атаката.

    От кореспонденцията между BleepingCmputer и Microsoft става ясно, че тази техника не се смята за уязвимост от технологичния гигант: „CFA се базира на многослойна защита (defence-in-depth) и за да бъде успешна тази атака са необходими привилегировани права на конкретната машина. Следователно тази техника не отговаря на нашите критерии за обслужване на сигурността.“

    Как да се защитите

    И докато според Microsoft възможността, някой да компрометира вашата машина и да ескалира своите привилегии, не е често (и лесно) действие, за съжаление в реалния свят нещата стоят по коренно различен начин. Един от най-често използваните похвати на злонамерените лица, след като си осигурят достъп до инфраструктурата, е именно да повишат своите привилегии, а в някои случаи дори не е нужно да го правят. Защо ли? Защото например не се използва концепцията за Least privilege и съответно на компрометираната машина всички потребители са с admin права.

    Антивирусният софтуер сам по себе си не може и не бива да бъде приеман като all-in-one решение, а по скоро като една част от него. Другите „части“ на това решение са: следване на добри практики в сферата на информационната сигурност, в това число използване на защитна стена на изхода на мрежата, ограничаване на публично достъпните услуги (уязвими протоколи като RDP и SMB не бива да бъдат публично достъпни!), сегментиране на мрежата, правилно разпределяне на правилата на потребителите и др.

  • Да правиш пари от COVID-19: фалшиво приложение криптира потребителски телефони

    Фалшиво приложение, свързано с COVID-19, криптира телефоните на жертвите си и иска откуп за отключването им. Става въпрос за CryCryptor, таргетиран конкретно срещу канадски потребители. Той се разпространява като имитира официалното приложение за проследяване развитието на вируса, предлагано от Health Canada.

    Инициативата за създаването на такова приложение с името COVID Alert беше обявена преди няколко дни. Реакцията на хакерите не закъсня:

    Атаката е разкрита от ESET, които предлагат и инструмент за декриптиране на засегнатите потребители.

    Прочетете повече по темата тук

     

    В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • Криптовирус почти остави без бира Австралия и Нова Зеландия

    Криптовирус почти остави без бира Австралия и Нова Зеландия, след като стана причина за временно спиране на дейността на най-големия местен производител Lion.

    Спирането идва малко след друго принудително прекратяване на производството заради пандемията от COVID-19.

    Производителят на местните най-популярни марки бира като XXXX Gold, Tooheys, Hahn, James Boag и Little Creatures, заяви, че хакът „не е могъл да дойде в по-лош момент“.

    Компанията не дава никакви подробности относно поражения и поискан откуп, но заявява, че отнема повече от очакваното, за да бъдат върнати производствените й системи онлайн.

    Прочетете повече по темата тук

     

    В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • След Honda, и Enel стана жертва на криптоатака

    Нова значима атака с криптовирус, насочена към корпоративен гигант в рамките на една седмица. Жертва този път е аржентинското подразделение не енергийната компания Enel.

    Отново става дума за SNAKE софтуер, сочи разследване на Malwarebytes.

    Засегната е дъщерната компания на Enel в Аржентина – Edesur S.A., като атаката е затруднила обслужването на клиентите по телефона, социалните мрежи и използването на виртуалния офис.

    Подобна ransomware атака причини и частичното спиране на производството на автомобилостроителната компания Honda.

    Прочетете повече по темата тук

     

    В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • Фалшиво решение за декриптиране на STOP Djvu Ransomware криптира повторно файлове на жертвите си

    Поредното доказателство, че не трябва да се доверяваме сляпо на всичко, което пише в интернет е факт. Става въпрос за мнимо решение за декриптиране на файловете, засегнати от STOP Djvu Ransomware.

    Казусът: вместо да решава проблеми, то създава нови такива и криптира още веднъж вече криптираните от зловредния код файлове.

    Ежедневно STOP Djvu поразява средно 600 потребителя. Това е повече, отколкото жертвите на Maze, REvil, Netwalker и DoppelPaymer взети заедно. Изброените зловредни кодове са и най-печелившите в момента от гледна точка „оборот“, генериран на база събраните откупи от жертвите.

    Научете повече за новото поколение криптовируси тук.

    Прочетете повече по темата тук

     

    В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • Honda спря частично производството заради атака с криптовирус

    Японската автомобилостроителна компания Honda е станала жертва на атака с криптовирус, довела до частично спиране на производството ѝ. Най-вероятно е използвано ransomware семейството SNAKE. От компанията съобщават, че няма доказателства за изтичане на лични данни на клиентите ѝ.

    Атаката е дошла от европейското подразделение на организацията. От публикация по темата в BleepingCompuer може да се предположи, че става въпрос за таргетирани действия срещу организацията. Причината: в семпъл, публикуван във VirusTotal, се вижда, че зловредният код търси вътрешна мрежа с името mds.honda.com, а при опит за стартирането му в sandbox, не се криптират никакви файлове и приложението просто спира.

    Засегнати са няколко завода, както и финансовото подразделение на автомобилопроизводителя.

    Освен, че опитва да криптира файловете на засегнатите работни станции, SNAKE източва информацията от тях. Така хакерите разполагат с 2 инструмента за изнудване – от една страна се иска откуп за декриптиране на файловете, а от друга – за запазването на конфиденциалността им.

    Прочетете повече по темата тук

     

    В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • Нова тактика: ransomware се крие от антивирусната защита с виртуална машина

    Втора значима нова тактика в разпространението и прикриването на криптовируси (ransomware) от началото на 2020 г. налагат създателите на RagnarLocker. Те използват Oracle VirtualBox със заредена виртуална машина Windows XP, за да скрият своето присъствие от наличния антивирусен софтуер.

    С инсталирането на Oracle VirtualBox, авторите на зловредния код стартират виртуална машина на инфектираните компютри. Така криптовирусът се изпълнява в „защитена, контролирана среда“, която е извън обсега на антивирусния софтуер, работещ върху физическата (хост) машина .

    Прочетете още: Нов вид криптовируси: крадат и изнудват

    Този интересен подход бе забелязан и подробно описан от британската фирма за киберсигурност Sophos и показва креативността и големите усилия, на които са способни хакерските групи, за да останат незабелязани, докато инфектират своята жертва.

    Какво е RagnarLocker?

    Идеята зад прикриване на присъствието е от критично значение за RagnarLocker. Те не са просто типичната хакерска групировка, която криптира всеки и каквото им попадне. Те внимателно подбират своите жертви, като избягват крайни потребители и се целят единствено в корпоративни и държавни организации.

    Според Sophos, основните техники за подбор на жертвите от страна на RagnarLocker са се състояли в компрометиране на отворен RDP порт на ниво работна станция и компрометиране на инструменти, използвани от MSP (Managed Service Providers). По този начин хакерите си осигуряват достъп до вътрешните мрежи и ресурси на засегнатата компания.

    Веднъж придобила достъп до вътрешната мрежа, групировката пуска конкретна версия на своя криптовирус. Тя варира и е специфична за всяка една жертва. След заразата, RagnarLocker изискват огромна сума за декриптирането на информацията в размер на десетки или стотици хиляди американски долари.

    Тъй като всяка една от тези внимателно планирани атаки представлява шанс за спечелване на огромна суми пари, RagnarLocker основно залагат на оставането им под прикритие в засегнатите мрежи. Това е и причината за създаването на този хитър „фокус“, чрез който да избегнат засичането от антивирусен софтуер.

    Магията с виртуалната машина

    Т.нар. „фокус“ всъщност е много прост, но, същевременно, хитър подход.

    Вместо да стартират криптовируса директно на компютъра-жертва, от RagnarLocker свалят и инсталират Oracle VirtualBox, широкоразпространен софтуер за виртуализация.

    Те конфигурират виртуалната машина, като ѝ задават пълен достъп до всички локални и споделени папки и локации и по този начин ѝ осигуряват права за манипулиране на файлове, които се съхраняват извън нейния локален диск.

    Следващата стъпка се състои в стартиране на виртуалната машина, като за целта се стартира орязана версия на Windows XP SP3, наречена MicroXP v0.82.

    Последната фаза на атаката е да се зареди криптовируса във виртуалната машина и да се изпълни. Тъй като кодът работи в самата виртуална машина, антивирусният софтуер няма да открие злонамерения процес.

    От гледна точка на антивирусния софтуер, файловете намиращи се на локалната файлова система, както и тези на споделените папки, изведнъж ще бъдат подменени с техните криптирани версии, а всички модификации на тези файлове ще идват от легитимен процес – а именно програмата VirtualBox.

    За повече информация препоръчваме да прочетете детайлния репорт на Sophos, който освен криптовируса RagnarLocker, разглежда и техниката с виртуалната машина.

  • Най-големият частен оператор на болнични услуги в Европa стана жертва на ransomware

    Криптовирус стана причина за временно забавяне на работата на най-големия европейски частен болничен оператор и основен доставчик на диализни продукти и услуги Fresenius.

    Атаката е засегнала едно от четирите подразделения на организацията – Fresenius Kabi (доставчик на медикаменти и медицински устройства). Компанията все още се бори с последиците от заразата, уведомила е разследващите органи и продължава да полага грижи за своите пациенти. Няма официална информация за използвания зловреден код и дали е поискан откуп.

    Как е осъществена атаката

    Според блога за информационна сигурност KrebsOnSecurity Fresenius е засегната от Snake Ransomware. Зловредният код е използван за атаки предимно срещу големи организации. Той взима за „заложници” ИТ системите и данните им в замяна на плащане на откуп под формата на криптовалути.

    Атаката срещу Fresenius идва на фона на все по-целенасочени атаки срещу доставчици на здравни услуги на първа линия за реагиране на пандемията COVID-19, за която предупреди Интерпол през април.

    През изминалата седмица предупреждения за зачестили ransomware-атаки, насочени към организации, работещи в областта на здравеопазването, оповестиха и Агенцията за кибер- и инфраструктурна сигурност на САЩ (CISA) и Националният център за киберсигурност на Великобритания.

    В сигналите се споменава, че пандемията вероятно предизвика допълнителен интерес у киберпрестъпниците да събират информация, свързана с COVID-19, например разузнавателна информация за националната и международната политика в областта на здравеопазването или чувствителни данни за изследвания, свързани с COVID-19.

    Организирано средство за изнудване

    Доскоро подобни ransomware-атаки бяха смятани за единични нападения с цел получаване на откуп. Напоследък обаче те се превръщат в основна причина за изтичане на данните на редица организации, станали тяхна жертва. Според Лорънс Ейбрамс (Bleeping Computer) атаката срещу Fresenius вероятно е част от по-мащабна Snake Ransomware кампания, която набира голяма скорост през последната седмица.

    Прочетете и: Екраните почерняваха един след друг… Или неразказната история на NotPetya

    Базирана в Германия група Fresenius включва четири независими компании, работещи в различни критични сфери на здравеопазването, с близо 300 хил. души персонал в повече от 100 държави. Компанията предоставя продукти и услуги за диализа с близо 40 процента от пазарния дял в САЩ. Вече е известно, че COVID-19 причинява бъбречна недостатъчност при много пациенти, което води до недостиг на диализни машини и консумативи и до повишено търсене на услугите на Fresenius.

Back to top button
Close