30/10/17

Τα νέα των Ransomware 29/10/2017

Είχαμε πολλή δραστηριότητα στους Ransomware την εβδομάδα που μας πέρασε, ξεχωρίζουν ο πρώτος Ελληνικός Ransomware, το ξέσπασμα του Bad Rabbit (που χτύπησε και την Ελλάδα) και τον Tyrant που σάρωσε εταιρίες και οργανισμούς στο Ιραν.

Κατά τ' άλλα, είχαμε πολλά μικρά στελέχη που έκαναν την εμφάνισή τους.

Ας τα δούμε αναλυτικά:


Kerkoporta - Το πρώτο ελληνικό Ransomware

Να τα μας... Αυτό προς το παρόν έχει περισσότερο το χαρακτήρα RAT (Remote Access Trojan) και Screenlocker. Μοιάζει να είναι σε δοκιμαστική έκδοση. Προς το παρόν μόνο μετονομάζει αρχεία.


Νέος Ransomware: Ordinal

Φυσικά είναι HiddenTear. Τοποθετεί την επέκταση .Ordinal.


Νέος Ransomware: AllCry

Τοποθετεί την επέκτασησ .allcry


Νέος Ransomware: Trick Or Treat

Πήγαν να τον βγάλουν έγκαιρα για το Halloween. Απ' ότι βλέπουμε δεν κρυπτογραφεί και εμφανίζει αυτήν την εικόνα.



Νέος Ransomware: Pennywise

...και αμέσως μετά άλλος ένας σχετιζόμενος με το Halloween, είναι κι αυτός σε στάδιο κατασκευής και τοποθετεί την επέκταση .beep στα αρχεία που κρυπτογραφεί.


Νέος Ransomware: Comrade

Είναι κι αυτός HiddenTear. Τοποθετεί την επέκταση .Comrade


Περι Bad Rabbit...

Στις 25/10/2017 υπήρξε ξέσπασμα του Bad Rabbit όπως είχαμε αναλύσει και προειδοποιήσει εγκαίρως. Τα νέα είναι ότι διάφορα γκρουπ κυβερνοασφάλειας αναφέρουν ότι πίσω από τον Bad Rabbit κρύβεται η ίδια ομάδα ανθρώπων που εξαπέλυσαν την επίθεση με τον NotPetya τον Ιούνιο. Τα άλλα νέα είναι ότι σύμφωνα με την Talos, και στην περίπτωση του Bad Rabbit χρησιμοποιήθηκε εργαλείο της NSA που διέρρευσε, που ονομάζεται Eternal Romance.
Ο Bad Rabbit χτύπησε την Ανατολική Ευρώπη και ένα μικρό αριθμό θυμάτων είχε και στην Αμερική.
Μαζέψαμε μερικές τεχνικές αναλύσεις από την End Game, την Kaspersky, την Malwarebytes, τη Group IB και την ESET, για όποιον ενδιαφέρεται.


Περι Tyrant...

Είχαμε αναφερθεί στον Tyrant την προηγούμενη εβδομάδα, το θέμα είναι έκτοτε ο εν λόγω Ransomware σάρωσε το Ιράν, υποδυόμενος ένα δημοφιλές VPN Application...
 

Νέος Ransomware: WannaBeHappy

Είναι υπό κατασκευή, αλλά δυστυχώς τον βλέπουμε πολύ έτοιμο να τεθεί σε κυκλοφορία. Τοποθετεί την επέκταση .encrypted.


Νέος Ransomware: Xiaoba

Κάτι κινέζικα. Τοποθετεί επεκτάσεις από .Xiaoba1 ως .Xiaoba34 στα κρυπτογραφημένα αρχεία.


Αυτά για τώρα.
Καλή εβδομάδα σε όλους!