Ransomware

  • Медицински център в Охайо спря работа след поредния киберинцидент в здравния сектор

    Инцидент с киберсигурността спря работата на медицински център в Охайо за няколко дни и принуди клиниката да отложи планираните процедури на пациенти.

    От Ashtabula County Medical Center (болнично заведение с над 200 легла) не посочват естеството на инцидента, но се предполага, че става дума за ransomware атака.

    Нарастващата зависимост на здравните заведения от информационните технологии, заедно с напрежението върху ресурсите, дължащо се на пандемията на коронавируса, направиха сектора уязвим от хакерски атаки. По-рано този месец пациент в Германия е починал след като е бил отпратен от болница, пострадала от поредната криптоатака.

    От началото на 2020 г. международни организации периодично предупреждават за увеличаване на броя на ransomware-атаки (тук и тук) срещу болнични заведения. За съжаление, също толкова често научаваме и за поредната жертва (тук и тук).

  • Хакерската група REvil депозира 1 млн. USD за набиране на хакери

    Спомняте ли си „бизнес-ориентирания“ модел на ransomware-групата REvil (Sodinokibi), чието развитие следим отдавна? Наскоро „семейството“ е депозирало 1 млн. USD (всъщност, равностойността им в биткойни) в  рускоезичен хакерски форум, за да демонстрира пред потенциални сътрудници, които иска да набере, че има сериозни намерения за развитието си.

    Както във всяка бизнес сфера, изглежда, че и разработката на криптовируси също следва икономическата логика и разделение на труда: едни хора (разработчици) отговарят за създаването на ransomware, а други (сътрудници) – хакват организациите и криптират устройствата им. При това се твърди, че последните получават до 80% от акумулираните откупи за декриптиране.

    Публично депозираната от REvil сума илюстрира колко пари генерират създателите на ransomware. За съжаление, докато жертвите не престанат да плащат многомилионни откупи, този вид киберпрестъпления ще продължат и участниците в  тях ще стават все по-богати.

  • Четирите най-големи корабни компании в света са засегнати от кибератаки

    Четирите най-големи морски корабоплавателни компании в света (CMA CGM, APM-Maersk, Средиземноморска корабоплавателна компания и COSCO) са били засегнати от атака с криптовируси в периода от 2017 г. насам.

    Това е първият случай досега, в който Голямата четворка в даден сектор на индустрията претърпява последователно големи кибератаки. Въпреки че инцидентите са различни, те показват преференциално насочване към морската индустрия. През последните 4 години жертви са ставали кораби, базираните на брега системи на корабните компании и  най-често – приложенията за резервация на контейнери.

    Свидетели сме на вълна от криптоатаки срещу корпоративни гиганти, опериращи в различни сфери на бизнеса и логично си задаваме въпроса: Дали „кибер-пиратите“ не са се насочили към криптирането на цяла индустрия, така че да повишат многократно шансовете си за получаване на откуп?

  • Собственикът на Ray-Ban е поредната корпоративна жертва на криптовирус (ransomware)

    Собственикът на Ray-Ban – компанията Luxottica, най-веротяно е станал жертва на атака с криптовирус, която е засегнала италианското и китайското поделение на корпорацията.

    Самата компания все още не е коментирала проблема, но според BleepingComputer, клиенти са съобщили  за спиране на уебсайтовете на Ray-Ban, Sunglass Hut, LensCrafters, EyeMed и Pearle Vision.

    Засега няма данни за откраднати или изтекли данни, а към 24-ти септември всички засегнати сайтове изглежда са възобновили работа, без следи от инцидента.

    Luxottica е поредната мултинационална компания в списъка с жертви на криптоатаки, след Garmin, Enel, Honda и др., за които съобщаваме през изминалите няколко месеца.

  • 457 хил. USD: цената данните ви да останат конфиденциални (евентуално) след кражбата им

    457 хил. USD. Толкова е откупът, платен от Университетът на Юта (САЩ), за да остане (евентуално) конфиденциална източена от образователната институция информация.

    Кражбата на данните е станала след зараза с модерното вече поколение криптовируси, които първи източват информацията от заразените устройства, след което я криптират. Така хакерите искат два откупа – един за декриптирането и един за непубликуването на откраднатите данни.

    Сериозната сума е била платена за сметка на действаща киберзастраховката. Засегнатите лица са предупредени да следят своята кредитна история за измамна дейност и да променят всички пароли, които използват онлайн.

  • Производителят на Jack Daniel’s и Finlandia показа как се действа при атака с криптовирус (ransomware)

    Американският гигант Brown-Forman, собственик на марките уиски Jack Daniel’s, водка Finlandia и др., е най-новата по-известна жертва на атака с криптовирус. Компанията, обаче, може да послужи за пример с реакцията си.

    Историята: според Bloomberg, Brown-Forman са станали жертва на добре познатите REvil / Sodinokibi. Зловредният код първо източва информацията от работните станции на жертвите си, а след това ги криптира. В случая се твърди, че са източени 1 терабайт данни, обхващащи над период от над 10 години от дейността на организацията.

    Какъв е бил отговорът на компанията на исканията откуп? Изглежда, че Brown-Forman са казали на киберпрестъпниците да ги изпратят „там, където слънцето не огрява“.

    Междувременно, не е имало данни, че компанията е спирала принудително дейността си, което говори за добра политика за реакция при кибератака – най-вероятно, актуални резервни копия на информацията. И най-вероятно политики за ограничаване негативното въздействие върху партньори, доставчици, кредитори, дистрибутори, търговци на дребно и др.

    Добра работа, Brown-Forman!

  • Атаката срещу Garmin: ransomware, 10 млн. USD откуп и други слухове

    Около 72 часа по-късно и след безброй слухове, извънредната ситуация в Garmin изглежда овладяна, а услугите на компанията отново функционират нормално. А въпросите около случилото се тепърва започват.

    В този текст няма да коментираме слухове или спекулации – защото такива не липсват – а по-скоро ще извлечем част от уроците от случилото се с Garmin. Съвсем накратко, какво знаем:

    • 23 юли, около обед източно-американско време. Атаката срещу Garmin започва. Редица услуги на компанията, сред които Garmin Connect, garmin.com и колцентровете на компанията спират принудително работа
    • Малко след началото на проблемите, Garmin публикува официално съобщение в Twitter акаунта си, но не цитира причината за спирането на услугите си
    • Редица публикации в онлайн медии твърдят, че атаката срещу компанията е дело на Evil Corp, които са успели да заразят Garmin с криптовирус, заключили са ключови за компанията файлове и системи и са поискали 10 млн. USD откуп за възстановяването им. За източници се посочват служители на компанията, вътрешни мемота от ИТ екипите ѝ, включително и скрийншоти, за които се твърди, че са от засегнатите машини
    • Официалната позиция на компанията е, че не са източени лични данни на клиенти
    • Възстановяването на услугите на компанията отне няколко дни,

    Какви са част от научените уроци:

    1. Няма твърде голяма или малка компания, която да не е интересна за киберпрестъпниците
    2. Криптовирусите далеч не са преминали пика си – дори обратното. Само за предпоследната седмица на юли са засечени няколко атаки срещу мащабни организации като Garmin. Още през април ИНТЕРПОЛ предупреди за ръст в ransomware атаките. А новите тактики за разпространение не спират. Например, създаването на специална виртуална машина, с цел маскиране на заразата.
    3. Бекъпът е задължителен. И не само, защото според Trend Micro 33% от засегнатите организации никога не получават файловете си обратно – а защото не се знае дали това възстановяване няма да е твърде късно

     

     

  • REvil ъпдейтна бизнесмодела си: вече предлага крадена информация на търг

    Неведнъж сме разказвали на групата REvil / Sodinokibi – едни от добилите популярност в началото на 2020 г. криптовируси, които източват данните на жертвите си преди да ги криптират. 

    Всяко ново появяване на това ransomware семейство е запомнящо се, защото добавя нов щрих към измамата: 

    • Първоначално групата стана известна с това, че подсигурява печалбата си от две страни – или плащате за декриптиране на данните си или за да не попаднат те в ръцете на конкуренцията. При всички случаи REvil печели. 
    • По-късно през годината „семейството“се сдоби със собствена платформа. На нея, под формата на каталог, се публикува откраднатата информация от жертвите, които не са платили откупите си. Така пазарният дял е гарантиран. 
    • В началото на юни 2020 г. REvil добави черешката на тортата – функция за анонимно наддаване за откраднатата информация. А първите аукциони са вече факт. 

    Сред жертвите, чиито данни са били продадени на търг, са дистрибутор на храни, адвокатска кантора и дружество за интелектуална собственост, всички в САЩ.  

    Спечелилите наддаването плащат, разбира се, с криптовалутаПри това, изглежда, че страните се ползват с взаимно доверие, тъй като не би било възможно да се поиска възстановяване на сумата в случай на недоставяне на заплатената информация. 

    Продължаване да следим развитието на REvil и ни се иска този бизнес нюх да бъде вложен в положителна кауза. 

    Прочетете повече по темата тук

     

    В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • Как RIPlace елиминира конвенционалните защити от криптовируси

    Нова техника за разпространение на криптовируси елиминира защитата на повечето съвременни антивирусни решения само с няколко реда код. Става въпрос за RIPlace, която е поредното нововъведение в ransomware.

    Техниката е разкрита от изследователите по киберсигурност Daniel Prizmant, Guy Meoded, Freddy Ouzan и Hanan Natan от Nyotron още в през 2018 г. След като уведомили всички засегнати разработчици на приложения, операционни системи и антивирусен софтуер, включително и Microsoft, обаче, анализаторите получили лаконичен отговор. Нещо от сорта на: щом дотогава никой криптовирус не е използвал тази техника, уязвимостта се класифицира като „незначима“.

    Наскоро обаче дебютира Thanos – първият криптовирус, който използва RIPlace.

    В кореспонденция между Nyotron и BleepingComputer, Nyotron  са тествали RIPlace срещу голям брой разработчици на антивирусен софтуер, включително Microsoft, Symantec, Sophos, McAfee, Carbon Black, Kaspersky, Crowdstrike, PANW Traps, Trend Micro, Cylance, SentinelOne, и Malwarebytes. Единствено Kaspersky и Carbon Black са направили нужните промени в техния антивирусен софтуер, за да елиминират изпълнението на тази техника.

    Преодоляване на ransomware защитата от RIPlace

    Според Nyotron, криптовирусите използват 3 различни техники, за да криптират информацията на жертвата и по този начин да подменят легитимната информация с криптирана такава. Обикновено, най-често използвани са методи #1 и #2:

    1. Записване на криптираните данни от паметта в оригиналния файл.
    2. Записване на криптираните данни от паметта в нов файл и след това изтриване на стария (легитимния) файл.
    3. Записване на криптираните данни от паметта в нов файл и след това с помощта на т.нар. “Rename call” се заменя оригиналния файл.

    За да бъде успешно предотвратена една атака от ransomware, всичките три опции трябва да бъдат защитени от филтриращият драйвер на антивирусния софтуер.

    От Nyotron откриха, че изпълнението на вариант 3 за подмяна на файлове и извършването му по специален начин, позволява да се заобиколи защитната функция, както е показано по-долу:

    Различни методи за запазване на криптираните файлове

     

    RIPlace работи, използвайки функцията „DefineDosDevice“, за да създаде DOS устройство, като например \\.\RIPlace, което след това сочи (links) към криптирания файл. Впоследствие DOS устройството се подава като целеви път за Rename функцията. Тъй като име на DOS устройство не се очаква, това води до връщане на грешка за това изпълнение. Така драйверът MiniFilter (който е част модула за защита от ransomware) вижда грешка и не блокира нищо, но въпреки това Rename преминава успешно.

    В крайна сметка, от гледна точка на разработчиците на криптовируси, са необходими промени на няколко реда код, за да се заобиколят наличните защитни модули.

    Въпреки че промените са доста прости, може да са нужни малко повече усилия в сравнение с използването на нормалните методи, но това ще трябва да бъде допълнително тествано, за да се знае със сигурност.

    RIPlace срещу Controlled Folder Access в Windows 10

    Controlled Folder Access (CFA) осигурява защита на ценна информация от злонамерени приложения и заплахи, като например криптовируси. Всички приложения (всеки изпълним файл, включително .exe, .scr, .dll, word файлове и други) се оценяват от Microsoft Defender Antivirus, който след това определя дали приложението е злонамерено или безопасно. Ако приложението е класифицирано като злонамерено или подозрително, няма да бъде позволено то да прави промени по който и да е файл, намиращ се в защитена папка, дефинирана в CFA.

    От Nyotron създадоха видео, в което се демонстрира заобикалянето на CFA използвайки RIPlace. За повече информация може да посетите сайта на Nyotron, където има създадена специална страница за RIPlace.

    BleepingCmputer, използвайки RIPlace, също заобиколиха CFA, като за доказателство (Proof-of-concept) са публикували подробни снимки на атаката.

    От кореспонденцията между BleepingCmputer и Microsoft става ясно, че тази техника не се смята за уязвимост от технологичния гигант: „CFA се базира на многослойна защита (defence-in-depth) и за да бъде успешна тази атака са необходими привилегировани права на конкретната машина. Следователно тази техника не отговаря на нашите критерии за обслужване на сигурността.“

    Как да се защитите

    И докато според Microsoft възможността, някой да компрометира вашата машина и да ескалира своите привилегии, не е често (и лесно) действие, за съжаление в реалния свят нещата стоят по коренно различен начин. Един от най-често използваните похвати на злонамерените лица, след като си осигурят достъп до инфраструктурата, е именно да повишат своите привилегии, а в някои случаи дори не е нужно да го правят. Защо ли? Защото например не се използва концепцията за Least privilege и съответно на компрометираната машина всички потребители са с admin права.

    Антивирусният софтуер сам по себе си не може и не бива да бъде приеман като all-in-one решение, а по скоро като една част от него. Другите „части“ на това решение са: следване на добри практики в сферата на информационната сигурност, в това число използване на защитна стена на изхода на мрежата, ограничаване на публично достъпните услуги (уязвими протоколи като RDP и SMB не бива да бъдат публично достъпни!), сегментиране на мрежата, правилно разпределяне на правилата на потребителите и др.

  • Да правиш пари от COVID-19: фалшиво приложение криптира потребителски телефони

    Фалшиво приложение, свързано с COVID-19, криптира телефоните на жертвите си и иска откуп за отключването им. Става въпрос за CryCryptor, таргетиран конкретно срещу канадски потребители. Той се разпространява като имитира официалното приложение за проследяване развитието на вируса, предлагано от Health Canada.

    Инициативата за създаването на такова приложение с името COVID Alert беше обявена преди няколко дни. Реакцията на хакерите не закъсня:

    Атаката е разкрита от ESET, които предлагат и инструмент за декриптиране на засегнатите потребители.

    Прочетете повече по темата тук

     

    В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

Back to top button