26/12/17

Τα Χριστουγεννιάτικα νέα των Ransomware, 25/12/2017

Καλά Χριστούγεννα και καλές γιορτές σε όλους!

Οι γιορτινές ημέρες είναι εδώ και ακόμα και οι δημιουργοί των Ransomware κάνουν διάλειμμα...
Αυτήν την εβδομάδα που πέρασε, είχαμε πολύ λίγα στελέχη να διασπείρονται και ελάχιστες επιμολύνσεις, κάτι που πάντα είναι καλό νέο.

Τα κυριότερα νέα αφορούν την επίσημη τοποθέτηση της κυβέρνησης των ΗΠΑ μέσω της οποίας κατονομάζει την Βόρεια Κορέα ως υπεύθυνη για τη διασπορά του WannaCry, ο οποίος είχε σπείρει το χάος σε όλο τον κόσμο το Μάιο που μας πέρασε.
Επίσης, είχαμε συλλήψεις ατόμων που σχετίζονται με την διασπορά του Cerber και του CTB-Locker.

Ας τα δούμε αναλυτικά:


Ψεύτικος πολλαπλασιαστής Bitcoin εγκαθιστά Ransomware

Έχετε Bitcoin? Διαβάζετε "κάπου" για ένα λογισμικό που θα πολλαπλασιάσει τα Bitcoin σας και το κατεβάζετε. Προφανώς δεν είστε και πολύ μέσα στα πράγματα, γιατί αλλιώς θα γνωρίζατε ότι τα Bitcoin δεν πολλαπλασιάζονται έτσι απλά...
Κατεβάζετε, λοιπόν το Bitcoin-x2 κολλάτε έναν περιποιημένο Ransomware και μετά ξοδεύετε τα Bitcoin σας σε λύτρα..





Συλλήψεις για τον CTB-Locker και τον Cerber (vid)

Οι αρχές της Ρουμανίας συνέλαβαν πέντε άτομα με τις κατηγορίες της διασποράς email με παγιδευμένα επισυναπτόμενα, προσπαθώντας να μολύνουν χρήστες με τον CTB-Locker και τον Cerber.

Οι αρχές ανακοίνωσαν ότι πρόκειται για διανομείς των Ransomware και όχι για τους δημιουργούς. Οι συλληφθέντες χρησιμοποιούσαν RaaS (Ransomware As A Service) και έστελναν αρχεία που έμοιαζαν με τιμολόγια προκειμένουν να μολύνουν χρήστες και να απαιτήσουν λύτρα.
Από τα χρήματα που εισέπρατταν, το 30% πήγαινε στο RaaS.


Παρακάτω είναι ένα βίντεο από την εισβολή της αστυνομίες σε διάφορες τοποθεσίες και από τις αντίστοιχες συλλήψεις.



Ο Λευκός Οίκος κατηγορεί επίσημα την Βόρεια Κορέα για τη διασπορά του WannaCry.

Ο υπεύθυνος ασφαλείας των ΗΠΑ Thomas Bossert σε δήλωσή του στη Wall Street Journal, κατονόμασε τη Βόρεια Κορέα ως υπεύθυνη για τη διασπορά του WannaCry που προκάλεσε παγκόσμιο χάος τον Μάιο που μας πέρασε. Μπορείτε να διαβάσετε στο παραπάνω λινκ αναλυτικά τη δήλωση.


ΝΕA ΣΤΕΛΕΧΗ του RSAUtil Ransomware

Δύο νέα στελέχη του RSAUtil είχαμε αυτήν την εβδομάδα, το ένα από αυτά

16/12/17

Τα νέα των Ransomware, 17/12/2017

Αυτή η εβδομάδα που πέρασε, είχε κυρίως μικρά υπό κατασκευή Ransomware, με τα μεγαλύτερα νέα να αφορούν τον File Spider Ransomware, που στοχοποίησε Βαλκανικές χώρες (προς το παρόν, δεν είχαμε θύματα στην Ελλάδα).
Στην Καλιφόρνια, η βάση δεδομένων των ψηφοφόρων "απήχθη" και κρατείται ζητώντας λύτρα!

Ας τα δούμε αναλυτικά:


ΝΕΟΣ Ransomware: TrOwX

Ξεκινάμε με HiddenTear φυσικά, αυτός ονομάζεται TrOwX και πετάει το Ransom Note READ_AND_CRY+[passTxt].txt και χρησιμοποιεί την επέκταση .locked.

Τώρα, το αστείο είναι το Read and cry... Σοβαρά τώρα? Μάλλον όχι, εκτός αν εννοούν ότι θα κλάψουμε από τα γέλια διαβάζοντας το γελοίο κώδικα που έχουν γράψει...





ΝΕΟΣ Ransomware: D4rkL0cker

Προς το παρόν δεν κρυπτογραφεί. 







O File Spider στοχεύει Βαλκανικές χώρες

Την Τρίτη που μας πέρασε, εμφανίστηκε ένας νέος Ransomware, ο File Spider. Αυτός

9/12/17

Τα νέα των Ransomware, 11/12/2017

Πολλά μικρά στελέχη εμφανίστηκαν την προηγούμενη εβδομάδα και ήταν αυτά που μας κίνησαν το ενδιαφέρον.
Είχαμε όμως και μερικές μεγάλες ιστορίες, με τον HC7 o οποίος στοχεύει και χτυπάει ολόκληρα δίκτυα μέσω Remote Desktop, είχαμε τον StorageCrypt στον οποίο είχαμε αναφερθεί και την προηγούμενη εβδομάδα που χτυπάει κουτιά NAS μέσω SambaCry και είχαμε και τους Η/Υ της κομητείας του Mecklenburg στην Βόρεια Καρολίνα των ΗΠΑ να μολύνονται με τον LockCrypt.

Ας τα δούμε αναλυτικά:



ΝΕΟΣ Ransomware: Napoleon

Αυτός βασίζεται στον Blind και τοποθετεί την επέκταση .napoleon στα κρυπτογραφημένα αρχεία.
ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!








ΝΕΟΣ Ransomware: Eternity

O Karsten Hahn ανακάλυψε έναν υπό κατασκευή Ransomware, βασισμένο στον Stupid Ransomware, ο οποίος κρασάρει λόγω ενός αρχείου ήχου που λείπει.
Τοποθετεί την επέκταση .eTeRnItY στα κρυπτογραφημένα αρχεία.

ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!





ΝΕΟΣ Ransomware: Jcoder (variant)

5/12/17

Απίστευτος τύπος χακάρει σωφρονιστικό ίδρυμα για να αποφυλακίσει νωρίτερα φίλο του!


Απίστευτος τύπος χακάρει σωφρονιστικό ίδρυμα για να βγάλει έξω έναν φίλο του!


Ένα απίστευτο περιστατικό συνέβη στο Ann Arbor του Michigan των ΗΠΑ και συγκεκριμένα στο Washtenaw County Jail, τις φυλακές της περιοχής.

Ένας 27χρονος, ο Konrads Voits, ομολόγησε τις πράξεις του και κρίθηκε προφυλακιστέος έως ότου γίνει η δίκη και καθοριστεί η ποινή του, για κακουργηματικές πράξεις που περιλαμβάνουν την τροποποίηση μητρώου κάποιου φυλακισμένου, με σκοπό την αποφυλάκισή του σε σύντομο χρονικό διάστημα.


Τι ακριβώς συνέβη?


Ξεκινώντας γύρω στις 24/1/2017 και έως τις 10/3/2017, ο Voids έκανε επίθεση με email σε εργαζόμενους των φυλακών, προκειμένου να τους ξεγελάσει για να κατεβάσουν και να εκτελέσουν κακόβουλο λογισμικό στους Η/Υ του ιδρύματος.

Ο Voits στα email αυτά παρουσιαζόταν ως "Daniel Greene" και ζητούσε βοήθεια προκειμένου να του παρέχουν αντίγραφα δικαστικών πράξεων, ενώ αργότερα κατοχύρωσε και το domain "ewashtenavv.org" (με δύο v), που οπτικά μοιάζει με το επίσημο portal του ιδρύματος, δηλαδή το "ewashtenaw.org" (με w). Στο domain αυτό φόρτωσε κακόβουλο λογισμικό το οποίο είχε αγοράσει από το Dark Web και ευελπιστούσε ότι τα θύματά του θα ξεγελαστούν και θα το κατεβάσουν.

Παρά τις προσπάθειές του όμως, δεν υπήρξε το επιθυμητό αποτέλεσμα και έτσι το γύρισε στις τηλεφωνικές απόπειρες.

Ο Voits ξεκίνησε να καλεί στα μέσα Φεβρουαρίου διάφορους εργαζόμενους των φυλακών, παριστάνοντας ότι είναι είτε ο T.L. είτε ο A.B. (και οι δύο είναι εργαζόμενοι στο τμήμα πληροφορικής των φυλακών) και τους ζητούσε να μπουν σε διάφορες ιστοσελίδες και να κατεβάσουν ένα εκτελέσιμο το οποίο "θα αναβάθμιζε τα συστήματα των φυλακών".


Τα τηλεφωνήματα είχαν επιτυχία

Κάποια από τα θύματα του Voits την πάτησαν και εγκατέστησαν το κακόβουλο λογισμικό στους Η/Υ τους.

Σύμφωνα με τις καταθέσεις, "Με την εγκατάσταση και της εκτέλεση του κακόβουλου λογισμικού από τους υπαλλήλους της φυλακής, ο Voits απέκτησε πλήρη πρόσβαση στο δίκτυο της Κομητείας, συμπεριλαμβανομένων και ευαίσθητων προσωπικών δεδομένων όπως το σύστημα XJail (το λογισμικό μέσω του οποίου καταγράφονται οι κρατούμενοι των φυλακών), τα αρχεία των ενταλμάτων σύλληψης, εσωτερικά αρχεία ποινών καθώς και αρχεία με τα προσωπικά δεδομένα των εργαζόμενων των φυλακών".

Το FBI ανέφερε ότι ο Voits απέκτησε πρόσβαση σε πληροφοριακό υλικό, όπως κωδικούς πρόσβασης, ονόματα χρηστών, emails και άλλα προσωπικά στοιχεία από περισσότερους από 1600 εργαζόμενους της Κομητείας.

Μόλις ο Voits απέκτησε πρόσβαση στα δεδομένα, μπήκε στο XJail, έψαξε και βρήκε τα ονόματα διάφορων κρατούμενων και τροποποίησε τουλάχιστον έναν από αυτούς.


Η εισβολή έγινε άμεσα αντιληπτή


Οι εργαζόμενοι του σωφρονιστικού ιδρύματος εντόπισαν την τροποποίηση αμέσως και μόλις αντιλήφθηκαν τι συνέβη, ειδοποίησαν το FBI.

Το σωφρονιστικό ίδρυμα του Washtenaw προσέλαβε άμεσα ιδιωτική εταιρία ερευνών προκειμένου να καθαρίσει το εσωτερικό της δίκτυο.

Οι υπεύθυνοι των φυλακών δήλωσαν ότι το ίδρυμα κατέβαλε το ποσό των $235.488 προκειμένου να εντοπιστεί το μέγεθος της διαρροής, για να γίνουν εκ νέου αντίγραφα μερικών εκατοντάδων σκληρών δίσκων και για να διασταυρωθούν τα αρχεία όλων των φυλακισμένων από την αρχή.

Μετά την ομολογία του την προηγούμενη εβδομάδα, ο Voits αντιμετωπίζει ποινή φυλάκισης έως 10 ετών και πρόστιμο έως $250.000. Όλος του ο ηλεκτρονικός εξοπλισμός κατασχέθηκε, μεταξύ των οποίων ένα λαπτοπ, 4 κινητά τηλέφωνα, μια ηλεκτρονική πλακέτα (?) ενώ του κατασχέθηκε και αδιευκρίνιστος αριθμός από Bitcoin τα οποία χρησιμοποίησε για να αγοράσει το κακόβουλο λογισμικό.

Ο Voits παραμένει υπό κράτηση, η δίκη του έχει οριστεί για τις 5 Απριλίου του 2018.

2/12/17

Τα νέα των Ransomware, 2/12/2017

Είχαμε αυξημένη δραστηριότητα την προηγούμενη εβδομάδα στον τομέα των Ransomware. Είχαμε πολλά μικρά και μεγαλύτερα στελέχη να κάνουν την εμφάνισή τους. Είχαμε έναν ακόμα νέο CryptoMix, έναν νέο BTCWare και καμπάνιες διασποράς του GlobeImposter και του Sigma.
Είχαμε όμως και μερικές επιτυχίες με εξέυρεση λύσεων για κάποια στελέχη :-)


Ας τα δούμε αναλυτικά:



ΝΕΟΣ CryptON διασπείρεται μέσω KeyGen

Για εσάς που ζείτε τη ζωή στα άκρα και ψάχνετε να βρείτε σπαστήρια για εφαρμογές με σκοπό να μη πληρώσετε τις άδειες των εφαρμογών αυτών και κατεβάζετε τα λεγόμενα KeyGenerators, τώρα έχετε πρόβλημα (άλλο ένα).
Κυκλοφόρησε ένας CryptOn ο οποίος παριστάνει ότι πρόκειται για KeyGen του γνωστού λογισμικού ανάκτησης δεδομένων EaseUS Data Recovery. 

Έτσι, θέλετε να πειραματιστείτε μόνοι σας προσπαθώντας να ανακτήσετε μόνοι σας τα αρχεία που διαγράψατε. 
Κατεβάζετε το EaseUS αλλά δεν θέλετε να το πληρώσετε κιόλας.
Ψάχνετε να βρείτε σπαστήρι.
Βρίσκετε και κατεβάζετε αυτό:



Πατάτε Generate και γίνεται αυτό:








Ευτυχώς για εσάς, έχουμε βρει λύση ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!





Βρήκαμε λύση για τον HC6/Fucku

Και ο HC6 μας απασχόλησε αυτήν την εβδομάδα, και βρήκαμε λύση!
ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!



Τι συμβαίνει με τον Halloware, ποιος είναι ο Luc1f3r? Τεχνική ανάλυση!