Защита от хакери

  • Криптовалутите стават основна цел за хакерите! 10 стъпки, с които да защитите портфейла си

    Bitcoin е в подем. За пръв път в историята си криптовалута №1 надхвърли 100 000 USD в началото на декември, след като нарасна с над 30% от нощта на изборите в САЩ. Но това важи с пълна сила и за измамите и зловредния софтуер, предназначени да откраднат криптовалутите ви.

    Последният Threat Report на ESET разкрива, че засичането на т.нар. Cryptostealer е скочило с 56% от първото до второто полугодие на 2024 г. Атаките са насочени както срещу Windows и Android, така и срещу macOS.

    Това е отражение на нарастващата роля, която криптовалутите играят в световните финанси. Децентрализираният им характер, бързината и необратимостта на трансакциите и възможността за прехвърляне по целия свят ги правят още по популярна цел за киберпрестъпниците.

    Затова и рисковете на това поле се задълбочават през 2024.

    Криптозаплахи, от които трябва да се пазите

    Когато става въпрос за кражба на криптовалути, трябва да внимавате не само за фишинг и зловреден софтуер. Измамниците са разработили редица измами, целящи да изпразнят вашите криптопортфейли.

    Според доклад на Chainalysis от август например pig butchering атаките са се превърнали в едно от най-разпространените средства за кражба на криптовалути.

    ESET Threat Report дава допълнителна яснота за заплахите през 2024. Ето няколко основни заключения:

    • Атаките с Password Stealing Ware (PSW) в MacOS са се увеличили със 127%. Те са насочени към кражба на идентификационни данни, свързани с портфейли за криптовалути. Това отчасти се дължи на продавания в Telegram по модела Malware-as-a-Service Atomic Stealer. Нападателите разпространяват този зловреден софтуер чрез злонамерени реклами в Google.
    • PSW заплахите стоят и зад ръста на криптокрадците, насочени към Windows. Там обаче в основата стои друг зловреден инструмент – Lumma Stealer.
    • Много банкови „троянски коне“ за Android вече съдържат функционалност на Cryptostealer наред с традиционните си функции. Този клас заплахи срещу криптопортфейлите е нараснал с 20% през второто полугодие на 2024 г.
    • Повишена активност има и около друг Malware-as-a-Service инструмент – Vidar Infostealer. Той е предназначен за събиране на идентификационни данни, съхранявани в браузъра, и такива от криптопортфейли. Разпространява се чрез зловредни реклами във Facebook, групи в Telegram и форуми в Dark Web.
    • Геймърите са таргетирани чрез Cryptostealer и Infostealer, скрити в кракнати игри. Те включват Red Line Stealer и Lumma Stealer.
    • Фишинг сайтовете, свързани с криптовалути, представляват 8% от всички наблюдавани през първото полугодие на 2024 г. от ESET. Това поставя тази група в Топ 5 за периода.

    Как да се защитите

    Всичко това упражнява допълнителен натиск върху потребителите. Съществуват различни мерки, които можете да предприемете, за да намалите заплахата за вашите криптопортфейли.

    Ето 10 важни стъпки:

    1. Не поставяйте всичките си средства на едно място. Разпределете риска и обмислете използването на хардуерни портфейли, които не са свързани с интернет и следователно са по-добре изолирани от цифрови заплахи.
    2. Избирайте внимателно доставчиците си на портфейли въз основа на отзиви. Не забравяйте да държите свързаните с интернет хранилища защитени с MFA.
    3. Включете 2FA за всяко криптоприложение, което използвате.
    4. Не използвайте публични Wi-Fi мрежи, когато сте навън. Ако се наложи да го направите, в никакъв случай не осъществявайте достъп до криптоакаунтите си.
    5. Винаги поддържайте устройствата и лаптопите/компютрите си с актуални пачове и софтуер за сигурност.
    6. Използвайте VPN услуга от реномиран доставчик за допълнително ниво на сигурност, за да се предпазите от фишинг, зловреден софтуер и други заплахи.
    7. Изтегляйте софтуер само от надеждни източници и официални уебсайтове, като преди това проверявате потребителските отзиви и рейтингите на разработчиците.
    8. Периодично премахвайте неизползваните разширения/софтуер.
    9. Редовно проверявайте за евентуални необичайни действия в криптосметките си.
    10. Бъдете нащрек за измами.
  • 6 стъпки за ограничаване на щетите при кибератака

    Последен ъпдейт на 22 декември 2024 в 09:51 ч.

    Една кибератака може да има опустошителни последици за всеки бизнес. Затова знанието как да реагирате ефективно по време на такава е от съществено значение.

    Ето 6 стъпки как да го направите:

    1. Незабавно уведомяване на ИТ и управленските екипи

    Служителят, който пръв се сблъска с пробива, трябва незабавно да уведоми ИТ и управленските екипи. Бързите действия са от решаващо значение, тъй като много кибератаки са проектирани да действат под радара, като безшумно изнасят данни. Ранното откриване може да предотврати по-голям пробив.

    1. Прекъсване на връзката с компрометираната система

    След като компрометираното устройство бъде идентифицирано, ИТ екипът трябва да го изключи от мрежата, за да предотврати допълнителни проблеми. Документирането трябва да започне веднага, за да се проследи как се разпространява инфекцията и кои системи са засегнати.

    1. Проверка на целостта на резервните копия

    ИТ специалистите трябва незабавно да проверят дали резервните копия в облака и на място не са били компрометирани. Целостта на им е от решаващо значение за ограничаване на въздействието на атаката и за поддържане на непрекъснатостта на бизнеса.

    1. Прилагане на протоколи за реакция при инциденти

    Ако вашата организация има план за реагиране при инциденти, започнете да го прилагате незабавно. Ако специалният екип не е на място, ИТ персоналът трябва да изпълни първите стъпки, описани в плана. Изолирането на засегнатите мрежови сегменти е от решаващо значение за ограничаване на заплахата.

    1. Уведомяване на служителите

    Уведомете всички служители за кибератаката, особено ако са замесени фишинг имейли. Човешката грешка често изостря нарушенията, така че те трябва да бъдат инструктирани да избягват всякакви подозрителни съобщения или прикачени файлове. Обучението по време на активна заплаха може значително да намали по-нататъшните щети.

    1. Използване на инструменти за проследяване на заплахата

    Използвайте EDR инструменти или други системи за сигурност, за да проследите и ограничите злонамерените дейности. Интегрираните инструменти за откриване на заплахи са по-ефективни за предотвратяване на повторно заразяване, отколкото ръчните процеси.

  • Хакерите пробиват 2FA. Открийте си резервен акаунт в Gmail, докато не е станало късно!

    Представете си, че се събуждате и установявате, че профилът ви в Google е бил хакнат и нямате достъп до пощенската си кутия в Gmail. За много хора това би бил кошмарен сценарий. А той е съвсем реален. Хакерите вече използват техники за кражба на бисквитките на сесиите в Chrome, за да заобиколят 2FA защитите. 

    Решението? Открийте си резервен акаунт в Gmail. 

    Истината е, че той няма да ви помогне да се предпазите от самата атака. Той обаче ще смекчи въздействието ѝ, тъй като може да служи като резервно копие на важната и често незаменима информация. 

    Как да настроим сигурно резервен акаунт в Gmail 

    Тъй като Google предлага Gmail като напълно безплатна уеб базирана имейл платформа, създаването на няколко акаунта е изключително лесно: 

    • излезте от профила си в Google;
    • отидете на страницата за повторно влизане;
    • изберете Създаване на акаунт“ (Create account). 

    За да гарантирате, че този нов акаунт няма да бъде компрометиран при атака срещу първия, използвайте допълнително удостоверяване от различно устройство. 2FA трябва да бъде базирано на самостоятелно приложение за генериране на код, а не чрез SMS на същия телефонен номер, както преди. Също така се опитайте да използвате възможно най-много напълно уникална информация при създаването на новия профил.  

    След като създадете акаунта, отидете в настройките на основния и задайте правило за препращане, което да изпраща копие от всички имейли към втория акаунт.  

  • „Hello pervert“: Заплашват ли ви с мощния шпионски софтуер Pegasus, значи ви лъжат

    Киберизмамници са започнали да заплашват жертвите си, че на устройствата им е инсталиран мощният шпионски софтуер Pegasus и разполагат с доказателства, че са гледали „извратено“ порнографско съдържание.  

    Те изпращат имейл, започващ с обръщението „Здравей, извратеняк! (Hallo pervert), последвано от заплаха, че хакерите разполагат с видеозаписи на жертвите, докато гледат порно клипове, които ще бъдат разпратени на контактите им, ако не платят.  

    За да изглежда още по-реалистична ситуацията, имейлите включват някаква стара или активна парола на потребителя, придобита при едно от многобройните изтичания на данни в глобален мащаб. Често тези откраднати масиви съдържат и физически адреси, така че хакерите може да изпратят и снимка на сградата ви от Google Maps.  

    Този подход, базиран на социално инженерство, подпомогнато от свободно налична информация в интернет, не е нов, но според Malwarebytes нападателите отскоро споменават Pegasus за допълнителен натиск.  Този софтуер наистина е мощен шпионски инструмент, но заплахата за използването му е абсолютна лъжа. Досега той е бил употребяван единствено в правителствени кампании за следене и няма доказателства да е попадал в ръцете на обикновени измамници. 

    Ако получите подобен имейл: 

    • никога не отговаряйте; 
    • ако включва парола, уверете се, че вече не я използвате; 
    • не си позволявайте прибързани действия или решения; 
    • не отваряйте прикачени файлове. 

    А ако искате да разберете какви ваши лични данни са били разкрити онлайн, можете да използвате безплатни приложения като Haveibeenpwned и Digital Footprint. 

  • От имейла до облака: 5 основни вектора на кибератака и как да ги защитим

    Дигиталната трансформация на бизнесите през последното десетилетие и тенденции като дистанционната работа разшириха неимоверно възможностите за кибератаки. Това напълно се потвърждава от глобално проучване на Trend Micro – 73% от ИТ и бизнес лидерите са загрижени за разнообразието от системи, които могат да се превърнат във входни точки за хакерите към техните критични данни и ресурси. 

    Kомпанията за киберсигурност анализира основните вектори на атаки и дава съвети как да бъде намален киберрискът, свързан с тях.

    Електронна поща

    Електронната поща остава един от най-често срещаните първоначални вектори на атака за киберпрестъпниците. Aтаките, базирани на този подход, ще стават все по-трудни за откриване, тъй като генеративния изкуствен интелект (GenAI) позволява на хакерите да създават изключително реалистични фишинг имейли. И то на различни езици. 

    Мерките за защита включват: 

    • Имейл портал, използващ изкуствен интелект, машинно обучение и поведенчески анализ; 
    • Cloud Application Security Broker (CASB), анализиращ входящите имейли чрез сканиране на връзки, прикачени файлове и съобщения; 
    • Secure Web Gateway (SWG), осигуряващ допълнителна защита при кликване върху злонамерена връзка; 
    • oбучение на потребителите. 

    Уеб приложения

    Атаките с кръстосани скриптове (Cross-site scripting – XSS) се възползват от грешки в кодирането на уеб страници или уеб приложения, за да крадат входни данни на потребителите. Пример за това е XSS уязвимост в Ivory Search, плъгин за търсене на WordPress, който остави 60 000 уебсайта отворени за инжектиране на зловреден код 

    Мерките за защита включват: 

    • запечатване на всички уязвимости; 
    • сканиране за злонамерени скриптове; 
    • деактивиране на всички портове, които не са необходими на уеб сървърите. 

    Уязвимости в софтуерите

    Уязвимостите могат да нарушат бизнес операциите, като причинят прекъсване или срив в системите. Шведската верига за хранителни стоки Coop например затваря 800 магазина, след като става жертва на zero-day уязвимост в продукта Virtual System Administrator (VSA) на доставчика Kaseya. 

    Мерките за защита включват: 

    • определяне и инсталация на най-подходящите пачове и следене на известните уязвимости; 
    • създаване на план за реакция и постоянно наблюдение на мрежите за подозрителна активност; 
    • използване на виртуални пачове за защита на уязвимите системи, ако доставчика на софтуера не е пуснал такива.

    Устройства

    Преминаването към дистанционна работа разкри опасностите, свързани с VPN – първоначален вектор на атака, който осигурява достъп до цялата мрежа. В същото време колкото повече устройства имат достъп до системите на една организация, толкова по-голям е киберрискът. 

    Мерките за защита включват: 

    • преминаване от VPN към Zero Trust Network Access (ZTNA) технология, която ограничава киберриска по цялата атакуема повърхност, като част от по-широка Zero Trust стратегия.

    Облак

    Дигиталната трансформация ускори приемането на облачните технологии, което донесе със себе си нови рискове за киберсигурността. Според доклада Trend Micro 2024 Midyear Cybersecurity Threat Report неподсигуреният достъп до облачни приложения е на първо място сред петте най-рискови събития през първата половина на годината.  

    Мерките за защита включват: 

    • използване на облачна платформа за сигурност, която поддържа среди с много и хибридни облаци. Тя трябва да може да автоматизира възможно най-много неща – от сканирането на инфраструктурата-катокод (IaC), контейнерите и работните натоварвания в облака до задаването на ясни политики за сигурност и извършването на проверки за съответствие. 

     

  • Google пусна нова актуализация на Chrome срещу zero-day. Инсталирайте я незабавно!

    Google пусна спешна актуализация на Chrome (версия 128.0.6613.84/85) в отговор на активно експлоатирана уязвимост от типа zero-day (CVE-2024-7971).  Категоризирана като проблем с объркване на типовете в JavaScript, тя представлява значителен риск за потребителите. Уязвимостите, свързани с объркване на типовете, позволяват на атакуващите да изпълняват злонамерен код на машината на жертвата, потенциално водещ до кражба на данни, неоторизиран достъп или инсталиране на зловреден софтуер.  

    Актуализацията Chrome 128 не само поправя CVE-2024-7971, но също така отстранява няколко други уязвимости с висока степен на сериозност, включително CVE-2024-7964 (Използване след освобождаване в частта с попълване на пароли). 

    Предвид активната експлоатация на CVE-2024-7971, всички потребители на Chrome трябва незабавно да актуализират браузърите си до версия 128.0.6613.84 или по-нова. Те могат ръчно да проверят за актуализации, като отидат в менюто с настройки на Chrome, изберат “Помощ” и след това “Относно Google Chrome”. Браузърът автоматично ще провери за актуализации и ще подкани за рестартиране, след като най-новата версия бъде инсталирана. 

  • Отваряйте си очите на четири, когато теглите AI фоторедактори

    Хакери създават фалшиви сайтове, приличащи на легитимните страници на известни AI фоторедактори за установяване на отдалечен контрол и кражба на данни.

    Според откривателите на кампанията от TrendMicro това се случва като:

    1. хакерът краде страница в някоя от социалните мрежи (обикновено свързана с фотография) и променя името ѝ, за да напомня на популярен AI фоторедактор;
    2. създава публикации с връзки към фалшиви страници, копиращи действителната;
    3. подсилва злонамерените публикации чрез платени реклами.

    Единственият проблем в тази ситуация: софтуерът в злонамерения уебсайт не е редактор на снимки, а програма за управление на работни станции. След като бъде инсталирана, тя позволява отдалечен контрол над машината и достъп до данните в нея.

    За да се предпазите:

    • активирайте многофакторна автентникация (MFA);
    • използвайте силни, уникални пароли за профилите си и ги актуализирайте редовно;
    • следете постоянно за необичайно поведение;
    • информирайте се редовно за новите методи, използвани от хакерите;
    • не теглете никакви инсталационни файлове, докато не сте 100% сигурни, че сте в легитимен сайт  и винаги ги сканирайте с антивирусен софтуер, преди да инсталирате.

     

  • Защитете API услугите си, защото вече те са основна мишена на хакерите. Вижте как

    Съвременният интернет е невъзможен без съществуването на API – интерфейси, посредством който различни приложения могат да комуникират помежду си.

    От една страна, това е огромен позитив: коренно противоположни системи могат да работят заедно, От друга: това е огромно предизвикателство за сигурността, те са навсякъде, често са зле защитени и съдържат огромни количества данни и огромна част от бизнесите дори не не само не знаят колко API-та поддържат и дали те изобщо имат някаква форма на защита. Това ги прави една от любимите мишени на хакерите.

    Защо да защитя API-тата си

    Интерфейсите дават директен достъп до четене и писане на огромно количество чувствителна информация. На практика тяхното предназначение изисква да имат достъп до сърцето на една организация и цялата информация за нея.

    Затова, за един бизнес, който поддържа подобни услуги, това означава, че през тях хакер може да:

    • да открадне на чувствителна информация като се сдобие с нерегламентиран достъп (който понякога дори не изисква автентникация)
    • извърши неоторизирани трансакции и да промени критични данни
    • да спре достъпа до услуги, като претовари на сървърите, на които работят те
    • да инжектира зловреден код
    • да получи неоторизиран достъп до други вътрешни системи
    • да нанесе репутационни щети, правни последици и глоби

    Само един пример: през януари 2024 г. от социалната медия Spoutible бяха източени лични данни на над 200 хил. потребителя именно заради липсата на защита на една от основните ѝ API услуги.

    Как да защитите API-тата си

    След всичко изброено по-горе, основният въпрос е какво да направите, за да защитите API услугите, които поддържате? По-лесно е, от колкото си мислите.

    Ето няколко практически съвета:

    • Организирайте. Изгответе списък с API услуги, които поддържате. За целта можете да използвате автоматизирани инструменти за откриване, но по-добре е да съберете списъка от разработчиците, с които работите и да опишете кое API каква автентникация изисква и достъп до какви данни и какви операции по тях позволява
    • Възприемете подход на нулево доверие (zerto-trust) и третирайте всяка заявка към API като потенциално злонамерена, независимо от произхода ѝ.
    • Въведете силна автентификация и оторизация за всяка API услуга. Без изключения.
    • Задайте разумни ограничения на броя заявките към API, които могат да се осъществяват за единица време. Например, има ли нужда API услуга за потребителска информация да позволява повече от 60 заявки в час?
    • въведете надеждна система за създаване на версии за вашите API услуги, за да можете, когато бъдат открити уязвимости (а такива ще бъдат открити), да деактивирате по-старите итерации.
    • обучавайте своите разработчици, тъй като повечето уязвимости в API произтичат от липсата на осведоменост за сигурността.
    • внедрете инструменти за мониторинг и поведенчески анализ и редовно penetration тестове.

    И не забравяйте – киберсигурността изисква постоянство и многопластов подход, така че всички тези стъпки трябва да вървят ръка за ръка.

     

  • iOS 14 подобрява сигурността на iMessage

    Последен ъпдейт на 23 февруари 2021 в 20:39 ч.

    IOS операционната система на Apple се счита за сигурна, но през последните години хакерите успешно откриха редица недостатъци, които осигуряват входни точки в iPhone и iPad.

    Много от тях са т.нар. атаки zero-click (без взаимодействие от страна на потребителя) – достатъчно е да кликнете върху връзка или да изтеглите файл, свързан със злонамерен софтуер, за да се зарази устройството ви.

    iMessage буквално е създаден за активност без взаимодействие – не е нужно да докосвате нищо, за да получите текст или снимка от контакт. Пълният набор от функции (интеграции с други приложения, функционалност за плащане и др.), които създават удобство за потребителите са и благодатна почва за хакери.

    В края на 2020 г. съобщихме за хакерска кампания, успешно насочена към десетки журналисти от Al Jazeera:  Zero-click бъг в iMessage помогна за инсталирането на шпионски софтуер на NSO Group Pegasus. Беше установено, че устройствата на всички жертви са работили с iOS 13, а Apple обяви, че уязвимостите са закърпени в iOS 14.

    Изследователи от екипа на Google за откриване на уязвимости в Project Zero описват три подобрения в сигурността на iMessage за крайните потребители, които издигат защитата им на по-високо ниво:

    Първото подобрение (наречено BlastDoor) е sandbox – карантинна зона, в която iMessage може да проверява входящата комуникация за потенциално злонамерени атрибути, преди да ги пусне в основната среда на iOS.

    Вторият нов механизъм следи за атаки, които манипулират споделен кеш на системни библиотеки. Кешът променя на случаен принцип адресите в системата, за да направи по-труден злонамерения достъп. iOS обаче променя адреса на споделения кеш само след рестартиране, което дава възможност на нападателите със zero-click да открият местоположението му. Новата защита е настроена да открива злонамерена дейност и да задейства опресняване, без потребителят да се налага да рестартира своя iPhone.

    Третото подобрение затруднява brute force атаките. Тази защита ограничава опитите за намиране на споделения кеш, както и по-сложни атаки – напр. опити за изпращане на множество злонамерени текстове, които обикновено са невидими за потребителя.

    Направените подобрения в iOS 14 значително ще намалят успешните атаки срещу iMessage без взаимодействие. Все пак изследователите предупреждават, че е въпрос на време нападателите да намерят нови уязвимости. Затова е важно постоянно да следите наличните актуализация и да ги прилагате, защото те запушват новооткрити пробойни в сигурността.

  • Maze Ransomware – криптира и изнудва: Коварен враг, от когото ще ви помогнем да се предпазите

    Последен ъпдейт на 18 декември 2020 в 08:08 ч.

    През 2020 семейството на криптовируса Maze придоби печална известност, застрашавайки бизнеса на десетки организации. Сред жертвите на зловредния софтуер са LG, Xerox, Southwire и град Пенсакола.

    Целта ни е да ви запознаем по-подробно с този опасен и многолик криптовирус, за да можете да изградите по-добре вашата защита.

    В никакъв случай не подценявайте криптоатаките. Освен че могат да ви откраднат ценна информация, могат да ви изнудват за пари и чрез публикуването й или продажбата й на конкуренти. И в двата случая може да се стигне до загуба на репутация, влошаване на бизнес отношения, огромни финансови загуби, а и глоба по GDPR.

    Млад, но амбициозен ransomware

    За Maze чухме едва през първата половина на 2019 г. По това време той дори нямаше ясно изразена следа (ransomware note). Наречен е от изследователите „ChaCha ransomware“, защото съдържа в заглавието си „0010 System Failure 0010“.

    Една от първите бележки за откуп (Ransom note) на Maze/ChaCha
    Една от първите бележки за откуп (Ransom note) на Maze/ChaCha

    Много скоро новите версии започнаха да се наричат ​​Maze. Злонамерените лица зад криптовируса създадоха сайт, който да „подпомага“ техните жертви в плащането на откуп за декриптиране на файловете им.

    Уебсайтът, използван от скорошна версия на Maze
    Уебсайтът, използван от скорошна версия на Maze

    Разпространява се чрез спам / фишинг кампании

    Тактиката за разпространение на Maze първоначално включва заразяване чрез експлойт комплекти (Fallout EK и Spelevo EK) и спам със злонамерени прикачени файлове.

    Пример за фишинг имейл с прикачен зловреден файл
    Пример за фишинг имейл с прикачен зловреден файл

    Когато получателят отвори прикачения документ, той бива подканен да активира режима за редактиране (Enable Edit) и съдържанието (Enable Content). Ако потребителя се подлъже и избере тези опции, злонамереният макрос, съдържащ се в документа, се изпълнява и заразява компютъра на жертвата с Maze.

    Maze-ransomware-enable-content

    Персонализиран подход

    За кратко време Maze започна да прилага индивидуален подход при атаките на корпорации и държавни организации, за да е по-успешен и да увеличи печалбите си от изнудване.

    Някои атаки стартират с  таргетиран фишинг и завършват с инсталиране на Cobalt Strike RAT, докато в други случаи пробивът на мрежата е резултат от експлоатация на уязвима интернет услуга (напр. Citrix ADC / Netscaler или Pulse Secure VPN). Слабите пароли за достъп до RDP на машини, достъпни от интернет, са друг недостатък, който Maze използва.

    Рансъмуерът прилага различни тактики при ескалация на привилегии, разузнаване и компрометиране на други машини в мрежата (т.нар. Lateral Movement). Използва инструменти като mimikatz, procdump, Cobalt Strike, Advanced IP Scanner, Bloodhound, PowerSploit.

    По време на тези междинни етапи, злонамерените лица се опитват да локализират ценна информация, която може да се съхранява на сървърите и работните станции в компрометираната мрежа. След това те източват поверителните файлове на жертвата, за да ги използват за договаряне на откуп.

    На финала Maze се инсталира на всички машини, до които злонамерените лица имат достъп. Следва криптиране на ценните данни на жертвата, с което работата на криптовируса е свършена.

    Изтичане на информация / Изнудване

    Това, с което нашумя Maze е, че утвърди нова тенденция при криптовирусите. Те започнаха да заплашват да разкрият поверителните данни на жертвите си ако те откажат да платят откуп. Този подход се оказа много доходоносен за престъпниците и започна да се използва от редица престъпни групи, занимаващи се с криптовируси – REvil/Sodinokibi, DoppelPaymer, JSWorm/Nemty/Nefilim, RagnarLocker, Snatch .

    Авторите на Maze поддържат и уебсайт, където изброяват последните си жертви и публикуват частично или изцяло (в случай на отказ да се плати откуп) извлечената информация.

    Уебсайт с изтекли данни на жертвите, публикувани от злонамерените лица зад Maze
    Уебсайт с изтекли данни на жертвите, публикувани от злонамерените лица зад Maze

    „Картел за изнудване“

    През юни 2020 г. Maze се обедини с LockBit и RagnarLocker и образува „картел за изнудване“.  Данните, откраднати от тези групи се публикуват в блога, поддържан от злонамерените лица зад Maze.

    Изглежда, че престъпниците споделят помежду си не само хостинг на ексфилтрирани документи, но и опита си от компрометиране на различни инфраструктури. За това говори фактът, че Maze започна да използва техники, които преди това се използваха само от RagnarLocker.

    Кратък технически преглед на Maze

    Криптовирусът Maze обикновено се разпространява като обфускиран PE файл (EXE или DLL), написан на C/ C++. Той използва най-различни похвати, за да избегне статичен и динамичен анализ. Например, динамично импортване на API функции е само един от похватите за избягване на статичен анализ, а за да избегне динамичния – Maze убива процеси, които често се използват от специалистите по информационна сигурност – procmon, procexp, ida, x32dbg и др.

    Криптографската схема на Maze се състои от няколко нива:

    1. За да шифрова съдържанието на файловете на жертвата, троянският кон генерира уникални ключове и nonce стойности, които да се използват с поточния шифър ChaCha
    2. Ключовете ChaCha и стойностите nonce са криптирани от публичен RSA-2048-битов ключ, който се генерира при стартиране на зловредния софтуер
    3. Частният RSA-2048-битов ключ на сесията е криптиран от публичния RSA-2048, който се кодира в тялото на троянския кон

    Схемата е вариация на типичен подход, използван от разработчиците на съвременен рансъмуер. Тя позволява на операторите да пазят своя частен RSA ключ в тайна, когато продават декриптори за всяка отделна жертва, а също така гарантира, че декриптор, закупен от една жертва, няма да помогне на друга.

    Когато бъде изпълнен на една машина, рансъмуерът Maze ще иска да определи какъв компютър е заразил. Той се опитва да прави разлика между различни видове системи – сървър за съхранение на резервни копия (backup server), домейн контролер (domain controller), сървър без централизирано управление/AD (standalone server) и др. Използвайки тази информация в бележката за откуп, троянецът има за цел допълнително да изплаши жертвите и да ги накара да си мислят, че престъпниците знаят всичко за засегнатата мрежа.

    Стрингове, които Maze използва, за да генерира ransomware note
    Стрингове, които Maze използва, за да генерира ransomware note

     

    Фрагмент от процедурата, която генерира бележка за откуп
    Фрагмент от процедурата, която генерира бележка за откуп

    Как да се предпазим от заразяване с Maze (или други криптовируси)?

    Рансъмуерът се развива всеки ден и атаките стават по-мащабни и разрушителни. Това означава, че вашата защита трябва да бъде подготвена да издържи на всеки един етап от атаката.

    Няма един единствен метод, чрез който да се предпазите, а трябва да следвате добрите практики в информационната сигурност, част от които са :

Back to top button