Нова значима атака с криптовирус, насочена към корпоративен гигант в рамките на една седмица. Жертва този път е аржентинското подразделение не енергийната компания Enel.
Отново става дума за SNAKE софтуер, сочи разследване на Malwarebytes.
Засегната е дъщерната компания на Enel в Аржентина – Edesur S.A., като атаката е затруднила обслужването на клиентите по телефона, социалните мрежи и използването на виртуалния офис.
[button color=“green“ size=“big“ link=“https://threatpost.com/snake-ransomware-honda-energy/156462/“ target=“true“ nofollow=“false“]Прочетете повече по темата тук[/button]
В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации.
Поредното доказателство, че не трябва да се доверяваме сляпо на всичко, което пише в интернет е факт. Става въпрос за мнимо решение за декриптиране на файловете, засегнати от STOP Djvu Ransomware.
Казусът: вместо да решава проблеми, то създава нови такива и криптира още веднъж вече криптираните от зловредния код файлове.
Ежедневно STOP Djvu поразява средно 600 потребителя. Това е повече, отколкото жертвите на Maze, REvil, Netwalker и DoppelPaymer взети заедно. Изброените зловредни кодове са и най-печелившите в момента от гледна точка „оборот“, генериран на база събраните откупи от жертвите.
[button color=“green“ size=“big“ link=“https://nakedsecurity.sophos.com/2020/06/08/double-crossing-ransomware-decryptor-scrambles-your-files-again/“ target=“true“ nofollow=“false“]Прочетете повече по темата тук[/button]
В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации.
Японската автомобилостроителна компания Honda е станала жертва на атака с криптовирус, довела до частично спиране на производството ѝ. Най-вероятно е използвано ransomware семейството SNAKE. От компанията съобщават, че няма доказателства за изтичане на лични данни на клиентите ѝ.
At this time Honda Customer Service and Honda Financial Services are experiencing technical difficulties and are unavailable. We are working to resolve the issue as quickly as possible. We apologize for the inconvenience and thank you for your patience and understanding.
— Honda Automobile Customer Service (@HondaCustSvc) June 8, 2020
Атаката е дошла от европейското подразделение на организацията. От публикация по темата в BleepingCompuer може да се предположи, че става въпрос за таргетирани действия срещу организацията. Причината: в семпъл, публикуван във VirusTotal, се вижда, че зловредният код търси вътрешна мрежа с името mds.honda.com, а при опит за стартирането му в sandbox, не се криптират никакви файлове и приложението просто спира.
Засегнати са няколко завода, както и финансовото подразделение на автомобилопроизводителя.
Освен, че опитва да криптира файловете на засегнатите работни станции, SNAKE източва информацията от тях. Така хакерите разполагат с 2 инструмента за изнудване – от една страна се иска откуп за декриптиране на файловете, а от друга – за запазването на конфиденциалността им.
[button color=“green“ size=“big“ link=“https://www.bleepingcomputer.com/news/security/honda-investigates-possible-ransomware-attack-networks-impacted/“ target=“true“ nofollow=“false“]Прочетете повече по темата тук[/button]
В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации.
Втора значима нова тактика в разпространението и прикриването на криптовируси (ransomware) от началото на 2020 г. налагат създателите на RagnarLocker. Те използват Oracle VirtualBox със заредена виртуална машина Windows XP, за да скрият своето присъствие от наличния антивирусен софтуер.
С инсталирането на Oracle VirtualBox, авторите на зловредния код стартират виртуална машина на инфектираните компютри. Така криптовирусът се изпълнява в „защитена, контролирана среда“, която [highlight color=“gray“] е извън обсега на антивирусния софтуер, работещ върху физическата (хост) машина [/highlight].
Този интересен подход бе забелязан и подробно описан от британската фирма за киберсигурност Sophos и показва креативността и големите усилия, на които са способни хакерските групи, за да останат незабелязани, докато инфектират своята жертва.
Какво е RagnarLocker?
Идеята зад прикриване на присъствието е от критично значение за RagnarLocker. Те не са просто типичната хакерска групировка, която криптира всеки и каквото им попадне. Те внимателно подбират своите жертви, като избягват крайни потребители и се целят единствено в корпоративни и държавни организации.
Според Sophos, основните техники за подбор на жертвите от страна на RagnarLocker са се състояли в компрометиране на отворен RDP порт на ниво работна станция и компрометиране на инструменти, използвани от MSP (Managed Service Providers). По този начин хакерите си осигуряват достъп до вътрешните мрежи и ресурси на засегнатата компания.
Веднъж придобила достъп до вътрешната мрежа, групировката пуска конкретна версия на своя криптовирус. [highlight color=“gray“] Тя варира и е специфична за всяка една жертва. [/highlight]След заразата, RagnarLocker изискват огромна сума за декриптирането на информацията в размер на десетки или стотици хиляди американски долари.
Тъй като всяка една от тези внимателно планирани атаки представлява шанс за спечелване на огромна суми пари, RagnarLocker основно залагат на оставането им под прикритие в засегнатите мрежи. Това е и причината за създаването на този хитър „фокус“, чрез който да избегнат засичането от антивирусен софтуер.
Магията с виртуалната машина
Т.нар. „фокус“ всъщност е много прост, но, същевременно, хитър подход.
Вместо да стартират криптовируса директно на компютъра-жертва, от RagnarLocker свалят и инсталират Oracle VirtualBox, широкоразпространен софтуер за виртуализация.
Те конфигурират виртуалната машина, като ѝ задават пълен достъп до всички локални и споделени папки и локации и по този начин ѝ осигуряват права за манипулиране на файлове, които се съхраняват извън нейния локален диск.
Следващата стъпка се състои в стартиране на виртуалната машина, като за целта се стартира орязана версия на Windows XP SP3, наречена MicroXP v0.82.
Последната фаза на атаката е да се зареди криптовируса във виртуалната машина и да се изпълни. Тъй като кодът работи в самата виртуална машина, антивирусният софтуер няма да открие злонамерения процес.
От гледна точка на антивирусния софтуер, файловете намиращи се на локалната файлова система, както и тези на споделените папки, изведнъж ще бъдат подменени с техните криптирани версии, а всички модификации на тези файлове ще идват от легитимен процес – а именно програмата VirtualBox.
За повече информация препоръчваме да прочетете детайлния репорт на Sophos, който освен криптовируса RagnarLocker, разглежда и техниката с виртуалната машина.
Криптовирус стана причина за временно забавяне на работата на най-големия европейски частен болничен оператор и основен доставчик на диализни продукти и услуги Fresenius.
Атаката е засегнала едно от четирите подразделения на организацията – Fresenius Kabi (доставчик на медикаменти и медицински устройства). Компанията все още се бори с последиците от заразата, уведомила е разследващите органи и продължава да полага грижи за своите пациенти. Няма официална информация за използвания зловреден код и дали е поискан откуп.
Как е осъществена атаката
Според блога за информационна сигурност KrebsOnSecurity Fresenius е засегната от Snake Ransomware. Зловредният код е използван за атаки предимно срещу големи организации. Той взима за „заложници” ИТ системите и данните им в замяна на плащане на откуп под формата на криптовалути.
Атаката срещу Fresenius идва на фона на все по-целенасочени атаки срещу доставчици на здравни услуги на първа линия за реагиране на пандемията COVID-19, за която предупреди Интерпол през април.
През изминалата седмица предупреждения за зачестили ransomware-атаки, насочени към организации, работещи в областта на здравеопазването, оповестиха и Агенцията за кибер- и инфраструктурна сигурност на САЩ (CISA) и Националният център за киберсигурност на Великобритания.
В сигналите се споменава, че пандемията вероятно предизвика допълнителен интерес у киберпрестъпниците да събират информация, свързана с COVID-19, например разузнавателна информация за националната и международната политика в областта на здравеопазването или чувствителни данни за изследвания, свързани с COVID-19.
Организирано средство за изнудване
Доскоро подобни ransomware-атаки бяха смятани за единични нападения с цел получаване на откуп. Напоследък обаче те се превръщат в основна причина за изтичане на данните на редица организации, станали тяхна жертва. Според Лорънс Ейбрамс (Bleeping Computer) атаката срещу Fresenius вероятно е част от по-мащабна Snake Ransomware кампания, която набира голяма скорост през последната седмица.
Базирана в Германия група Fresenius включва четири независими компании, работещи в различни критични сфери на здравеопазването, с близо 300 хил. души персонал в повече от 100 държави. Компанията предоставя продукти и услуги за диализа с близо 40 процента от пазарния дял в САЩ. Вече е известно, че COVID-19 причинява бъбречна недостатъчност при много пациенти, което води до недостиг на диализни машини и консумативи и до повишено търсене на услугите на Fresenius.
Въпреки разнообразието от криптовируси и техните възможности за адаптация, съществуват доказано добри практики, при чието прилагане вероятността за инцидент е близка до нула. Все още обаче, се оказва, че криптовирусите остават печелившо перо в портфолиото на киберкриминалния контингент.
Грешен подход на жертвите
Причината за този успех е проста. Жертвите обикновено действат на принципа „Това едва ли ще се случи на мен/нас!“. Тоест, игнорирали са опасността, като погрешно са преценили вероятността точно те да бъдат поредните „донори“ на bitcoin или друга криптовалута, в името на това да получат своята информация обратно и да я запазят конфиденциална. Не вземането на превантивни мерки трансформира въпроса от „Дали ще ни криптират?“ в „Кога ще ни криптират?“
В случай, че все пак се окажем жертви… колко би ни струвало да си върнем информацията и контрола върху ситуацията? Отговорът, измерен във време и парични средства, зависи от много фактори, както и от това дали ще платим откупа или ще предпочетем да започнем всичко отначало.
Пресни примери
Два пресни случая дават реална представа чрез цената, която са платили Travelex и очарователният американски град Балтимор. Те са станали жертва на криптовируси и предприели различни стратегии за справяне със ситуацията.
В средата на април стана известно, че Travelex са платилиблизо 2.3 млн. USD откуп, след като в навечерието на 2020 г. криптовирусът Sodinokibi превзема цялата им мрежа. След атаката 1 200 представителства на компанията в над 70 държави остават без ИТ инфраструктура, принуждавайки ги да минат към „ръчен режим“ на работа.
Заразата засяга и голяма част от уеб сайтовете и мобилното им приложение, което създава допълнителни проблеми с крайни клиенти и партньорски дружества като – Barclays, First Direct, HSBC, Sainsbury’s Bank, Tesco и Virgin Money.
След явно неуспешни опити да се справят сами, през целият месец януари Travelex вземат решение да платят откупа, искан от престъпниците. Въпреки че съществуват регулации като GDPR и калифорнийската CCPA, не малка част от компаниите, станали жертви на подобни кибер атаки, предпочитат да запазят мълчание. С него те обикновено се надяват да останат встрани от медийното и публично внимание и да си спестят щетите, свързани със загуба на репутация. Тази стратегия често има обратен ефект.
Общински неволи
След вълната успешни криптовирусни атаки срещу американски градове и общини, довела до неколкократно плащане на откупи, градоначалниците на Балтимор решават, че няма да платят поискания 76 хил. USD (в bitcoin) откуп. Преди близо година киберпрестъпниците използват зловреден код, известен под името RobbinHood, за да атакуват сървъри, уеб сайтове и електронни услуги, свързани с живота в града.
Жителите и бизнесът на Балтимор са „осакатени“ – засегнати са плащания на данъци, комунални услуги и сделки с имоти. В крайна сметка, щетите и мерките взети за да не се повтори този неприятен епизод струват близо 18 млн. USD! В тази цифра са включени и пропуснати ползи за общината, киберзастраховка и инвестиции в областта на киберсигурността.
Изводът от тези два инцидента и други подобни е ясен – инфектирането с криптовирус не е приятно, нито пък евтино „хоби“. [highlight color=“yellow“]Проактивната защита и план за възстановяване при бедствени събития (disaster recovery plan) са две от „съставките на правилната рецепта“ за справяне с криптовирусите[/highlight].
Някои хора биха си извадили погрешни изводи, че сметката не излиза и е по–добре подкупът да бъде платен. Да, чисто финансово може и да е така, особено в някои редки случаи, когато бъдещето на компанията е под въпрос, плащането е неизбежно. Но златното правило е, че [highlight color=“yellow“]плащанията на ransomware откупи стимулират престъпниците и затварят порочният кръг[/highlight]. Професионалистите в областта на киберсигурността са на мнение, че плащането на откуп трябва да бъде криминализирано.
ИНТЕРПОЛ е поредната организация, която предупреди болниците за кибератаки, които могат да доведат до принудително спиране на дейността им в условията на пандемия.
Организацията наблюдава нарастване броя на опитите на киберпрестъпници да блокират критични болнични системи, дори в текущото глобално извънредно положение. Новината не е изненада, въпреки обещанието на различни хакерски организации, че няма да има атаки срещу здравни и медицински организации по време на пандемията.
Вълната предупреждения бе подета от Microsoft, която обяви, че е започнала да изпраща таргетирани сигнали до десетки болници за уязвими публични VPN устройства. Според компанията, тези устройства могат да бъдат използвани за разпространението на ransomware-атаки.
ИНТЕРПОЛ, от своя страна, чрез екипа си Cybercrime Threat Response (CTR), работи в тясна връзка с помощни органи и правоприлагащи организации от ЕС. Целта е смекчаване на последствията и защита от такива атаки, които, насочени към болници, дори могат директно да причинят смърт в днешната безпрецедентна ситуация.
ИНТЕРПОЛ препоръчва на болниците и лечебните заведения винаги да актуализират софтуера и хардуера си и да архивират данните си на офлайн устройства за съхранение, с цел блокиране на потенциалните атаки.
[button color=“green“ size=“big“ link=“https://www.bleepingcomputer.com/news/security/interpol-ransomware-attacks-on-hospitals-are-increasing/“ target=“true“ nofollow=“false“]Прочетете повече по темата тук[/button]
В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации.
Microsoft са започнали да предупреждават болници за потенциално уязвими VPN устройства, които са цел на хакерски организации, разпространяващи криптовирусите REvil (Sodinokibi), DoppelPaymer и криптовируса Ragnarok.
Заразата с ransomware може да доведе до принудително спиране на дейността на болниците. Действие, което предвид натовареността на лечебните заведения заради пандемията с COVID-19, може да се окаже критично и да доведе до загуба на човешки животи.
Споменатите криптовируси са известни и с „иновативния“ си начин на действие – преди да криптират, те източват вашата информация, за да могат да ви изнудват с публикуването й, споделянето й на конкуренти или излагането й на обществено място с цел да спечелят пари. DoppelPaymer и REvil (Sodinokibi) дори имат собствени платформи, на които публикуват данни, източени от жертвите си, отказали да платят откуп.
Повече за мерките, които препоръчват от компанията, прочетете тук.
[button color=“green“ size=“big“ link=“https://www.microsoft.com/security/blog/2020/04/01/microsoft-works-with-healthcare-organizations-to-protect-from-popular-ransomware-during-covid-19-crisis-heres-what-to-do/“ target=“true“ nofollow=“false“]Прочетете повече по темата тук[/button]
В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации.
Масова инфекция с криптовируса Mailto затрудни работата на австралийската логистична компания Toll Group, част от Japan Post Holdings.
Атаката срещу организацията е осъществена през нощта в събота срещу неделя (2 февруари 2020). Тя е принудила компанията да спре няколко приложения, с които работят клиентите й. Официалната позиция е, че няма засегнати или изтекли лични данни на клиенти.
Към момента дейността на организацията постепенно се завръща към нормалните си нива.
[button color=“green“ size=“big“ link=“https://www.bleepingcomputer.com/news/security/new-ransomware-strain-halts-toll-group-deliveries/“ icon=““ target=“true“ nofollow=“false“]Прочетете повече по темата тук[/button]
В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации.
2020 г. започва с нова тенденция при криптовирусите и начините, по които хакерите изнудват жертвите си за откупи.
Досега, криптовирусите криптираха вашата информация и искаха откуп за нея. Някои плащаха, други не. Сега, за да увеличат шанса да платите, те предприемат нов подход – преди да криптират, източват вашата информация, за да могат да ви изнудват с публикуването й , споделянето й на конкуренти, или излагането й на обществено място с цел да спечелят пари.
За разлика от sextorsion изнудването, където обикновено се играе на блъф, при Sodinokibi, Maze и Nemty заплахата е истинска. Това са първите, но вероятно няма да са последните криптовируси, които източват данните на жертвите си преди да ги криптират.
Как работи измамата
Досега стандартните криптовируси действаха по добре позната система:
Зараза. Най-често през фишинг имейл, в който има прикачен файл – с привидна сметка, фактура и т.н. Ако жертвата направи грешката да отвори файла, без да разберете, вирусът активира payload, който криптира файловете на системата.
В моментът, в който вирусът криптира данните ви, виждате съобщение, в което се описва исканият откуп и bitcoin портфейл, на който да бъде преведен. Откуп, който много хора отказваха да платят, въпреки загубата на снимки или информация.
Новата стъпка. Отворили сте мнимата фактура или сметка, видели сте, че не е за вас и продължавате с обичайните си ангажименти. Междувременно, информацията ви се източва. След източването на информацията ви на хакерски сървър и криптирането на компютъра ви, виждате на екрана си. Ако откажете да платите, както много правеха досега, следва новата измама – заплаха, че данните ви ще бъдат дадени на конкуренцията или ще бъдат използвани срещу вас чрез публикуването им. С това хакерите увеличават вероятността да платите и да спечелят повече.
Съобщение към жертва на Sodinokibi. Снимка: bleepingcomputer.com
Ето и пример. На скрийншота по-горе се вижда как хакерите твърдят, че са откраднали над 50 гигабайта информация. Жертви са компютрите на немската GEDIA Automotive Group, доставчик на компоненти за автомобилно производство с дейност в Германия, Китай, Унгария, Индия, Мексико, Полша, Испания и САЩ. В източените данни фигурират чертежи, данни за служители (над 4 300 души) и клиенти.
Като доказателство за твърдението си, хакерите публикуват Excel файл, в който се съдържа AdRecon репорт за Active Directory средата на GEDIA.
Заплахата е ясна: платете откупа, в противен случай ще пуснем данните за продажба, а седмица по-късно – и напълно безплатно за сваляне.
Групата зад Maze стига още по-далеч. Хакерите публикуваха над 700 мегабайта източена от Allied Universal информация – или 10% от общия обем откраднати и криптирани данни. Те дори са се свързали с bleepingcomputer.com, за да разкажат историята си и да споделят част от източените файлове като доказателство:
Част от източените от Allied Universal данни. Снимка: bleepingcomputer.com
Исканият от тях откуп е бил 300 биткойна или около 2.3 млн. USD.
Най-интересната част от комуникацията, според нас, е зададеният въпрос: какви са гаранциите, че след плащането на откупа източените файлове ще бъдат заличени и, че няма да се поиска откуп повече от веднъж. Отговорът е красноречив:
Не ни интересуват данните. Интересуват ни само парите. Логиката е проста. Ако публикуваме източените данни след откупа, кой ще ни повярва в бъдеще? Нямаме интерес и ще бъде глупаво да публикуваме източените данни, защото няма да спечелим нищо от това. Трием информацията, защото за нас тя не е нещо интересно. Ние не сме шпиони.
Видимо, тактиката има смисъл, защото авторите на третия известен подобен вирус – Nemty – стигат дотам, че планират да създадат собствен сайт, в който под формата на каталог да публикуват данните на жертвите си. Новината е изпратена под формата на пресрилийз, отново до bleepingcomputer.com:
Плановете на авторите на Nemty, изпратени като пресрилийз. Снимка: bleepingcomputer.com
Подобни планове имат и авторите на Maze.
Nemty е екипиран и да атакува фирми директно. Това ни показва моделът му за централизирана администрация – например, всички засегнати от него компютри в една мрежа, вече могат да бъдат декриптирани с един ключ.
Много повече от криптиране
Основният проблем, с който може да се сблъскате, ако станете жертва на подобен вирус, е че последиците няма да се ограничат до загубата на данни.
След масовите зарази с криптовируси през последните 2 години, поддържането на бекъп се превърна от бутиково начинание в необходимост и вече много фирми го правят по най-различни начини. Навлизането на услуги в облака също спомогна бизнесите да се почувстват една идея по-защитени от потенциални зарази с ransomware. Все пак, в облака се пази резервно копие на информацията им – което дори в очите на някои обезсмисля закупуването на решение за бекъп.
Новата тактика, обаче носи допълнителни главоболия. Дори и да имате актуално копие на информацията, в случай, че не бъде платен откупа, не знаете какви данни може да са били източени от компанията ви. Te може да са:
Договори
Стратегии и планове
Лични данни на клиенти и служители
Дизайни и чертежи
Ноу-хау
Бази данни с клиенти
Информация за продажби
А това е само част от възможностите. На практика, публикуването им може да доведе до допълнителни санкции – например, по GDPR, което може да се окаже сериозна финансова пречка за съществуването на един бизнес.
Какво да направя в такава ситуация
Направете всичко възможно да не стигате до нея. Защитете работните си станции с многопластови решения за киберсигурност. Само наличието на антивирусно решение или само на защитна стена вече не достатъчно. Мислете проактивно – защитете организацията си на няколко нива, за да ограничите риска от това да се превърнете в жертва на тази нова вълна.
Разчитайте на еволюирали решения за киберсигурност, настроени и поддържани от професионалисти. Потърсете Security Operations Center, който да следи и анализира непрекъснато случващото се в мрежата ви и да реагира в случай на потенциален проблем. Например, да засече, че базите ви данни биват източвани и да ги предпази.
Хакерите ще стават все по-изобретателни. Еволюирайте, както го правят и те.
