Τα νέα των Ransomware, 26/3/2018

Ο λόγος για τον οποίο δεν είχαμε νέα των Ransomware την προηγούμενη εβδομάδα, ήταν απλώς επειδή δεν υπήρχαν νέα (με εξαίρεση 1-2 καινούργια στελέχη).

Και αν αυτό αρχικά φαινόταν καλό νέο, και διαβάζουμε δεξιά κι αριστερά ότι το Ransomware πέθανε, ήρθε αυτή η εβδομάδα που μας πέρασε, να διαψεύσει τους πάντες:

Μεγάλοι οργανισμοί θύματα επίθεσης, η πόλη της Atlanta στην Georgia των ΗΠΑ να δέχεται ΤΕΡΑΣΤΙΑ επίθεση από τον SamSam, συλλήψεις στην Πολωνία, νέα στελέχη με καινούργιες μεθόδους επίθεσης και πάει λέγοντας... Δεν θα το λέγαμε ακριβώς αδράνεια...

Ας τα δούμε αναλυτικά:

Ο Νecurs και ο Gamut κρύβονται πίσω από το 97% (!!!) των spam emails που κυκλοφορούν στο διαδίκτυο!

Λαμβάνετε πολλά spam email? Σας εκνευρίζουν? Προφανώς ναι και ναι.
Πίσω από τη διακίνηση των email αυτών κρύβονται δύο (όλα κι όλα) botnets, ο Necurs και ο Gamut. 

Πηγή: McAfee

Mιας και μιλάμε για spam...

Μία μεγάλη καμπάνια διασποράς του Sigma Ransomware είναι σε εξέλιξη, με τη χρήση Malspam. Παριστάνει ότι αποστέλλεται από τη δημοφιλή αμερικάνικη πλατφόρμα αγγελιών Craigslist και περιέχει είτε αρχείο word κλειδωμένο με κωδικό (..?) είτε .rtf αρχείο, τα οποία κατεβάζουν και εκτελούν τον Sigma στον Η/Υ του θύματος.

Επίθεση του SamSam στην Atlanta

O δήμαρχος της Atlanta στην Georgia των ΗΠΑ επιβεβαίωσε ότι στις 22/3/2018 η πόλη δέχτηκε μεγάλη επίθεση από τον SamSam και ότι διάφορα συστήματα των υποδομών και της διαχείρισης της πόλης κατέρρευσαν. 

Το περιστατικό θεωρείται ιδιαίτερα σοβαρό και υπήρξε ανησυχία μέχρι και για τη λειτουργία του αεροδρομίου, ενώ υπήρξαν διακοπές ρεύματος,

διακοπές στη λειτουργία του MARTA (τα ΜΜΜ της πόλης)

MARTA is currently experiencing a technical outage impacting MARTA Bid, Breeze Card, Reduced Fare and the MARTA On-the-Go sites. This issue is currently being troubleshot by MARTA IT. We do apologize for any inconvenience caused.

— MARTA (@MARTASERVICE) 22 Μαρτίου 2018

Το περιστατικό έχει αναλάβει  το FBI ενώ οι πληροφορίες λένε ότι το ποσό που ζητήθηκε σαν λύτρα ήταν $51.000.

Περισσότερα εδώ.

To R2D2 η λύση για τους Ransomware?

Επιστήμονες από το πανεπιστήμιο του Purdue έχουν εξελίξει ένα σύστημα ασφάλειας δεδομένων που το ονομάζουν R2D2 (Reactive Redundancy for Data Destruction). Μπορεί να προστατεύσει σε ποσοστό 100% τα δεδομένα που βρίσκονται μέσα σε έναν εικονικό δίσκο διαγραφή και τροποποίηση.

Συνοπτικά, το σύστημα δημιουργεί checkpoints για τον έλεγχο αν η διαδικασία είναι κακόβουλη και αν δεν πάρει τα απαραίτητα εχέγγυα, δημιουργεί snapshot των δεδομένων, μην επιτρέποντας την τροποποίησή τους.

Συλλήψεις στην Πολωνία!

Καλά νέα με τη σύλληψη του δημιουργού των Polski Ransomware, Vortex Ransomware (τον είχαμε ήδη λύσει) και του Flotera Ransomware στην Πολωνία.

Ο συλληφθείς ονομάζεται

Tomasz, πολωνικής καταγωγής που ζούσε μόνιμα στο Βέλγιο και είχε πάει στην πόλη του Opole στην Πολωνία για να επισκεφτεί οικείους.

Ο Tomasz κατηγορείται για 181 διαφορετικές παραβάσεις (κάποιες από αυτές σε βαθμό κακουργήματος) και προφυλακίστηκε για 3 μήνες. Ο εισαγγελέας πάντως δήλωσε ότι ο κατηγορούμενος παραδέχτηκε τις κατηγορίες και συνεργάζεται πλήρως με τις  αρχές.

O Paradise ζει!

Πριν περίπου 10 μέρες εμφανίστηκε στο προσκήνιο ένα στέλεχος του Paradise Ransomware, ο οποίος ήταν εξαφανισμένος εδώ και καιρό. Τοποθετεί την επέκταση [id-].support@all-ransomware.info.sell

Νέος Ransomware - VBRansom

O Leo ανακάλυψε αυτόν τον υπό-κατασκευή Ransomware με την ονομασία VBRansom. Προς το παρόν δεν κρυπτογραφεί.

Νέος L0cked

Ο Leo και πάλι, ανακάλυψε αυτήν την καινούργια έκδοση του L0cked.

Στα κλασικά καλά νέα της ημέρας...

Νέος Jigsaw, έχουμε βρει λύση, μη πληρώσετε τα λύτρα!
(βέβαια, τώρα, για να λέμε του στραβού το δίκιο, ο εν λόγω Ransomware είναι κορεάτικος, οπότε αν τον έχετε κολλήσει ή ζείτε στην Πιονγκγιανγκ, ή κάτι κάνετε ΠΟΛΥ λάθος με τον Η/Υ σας...)

ΥΓ. Ε όχι και powerhacker ρε φίλε..

Κορέας κουβέντα...

Στη Νότια Κορέα παρατηρήθηκε έξαρση του Hermes 2.1 λόγω μία ευπάθειας του Flash που παρατηρήθηκε. Είναι άξιο απορίας ότι επηρέασε μόνο τους κορεάτες.

Μπορείτε να διαβάσετε περισσότερα σε άρθρο της Malwarebytes για το θέμα αυτό.

Συνεχίζοντας στα ασιατικά νέα

..η Ασία ήταν η χώρα με τις περισσότερες επιθέσεις από Ransomware.

Πηγή: Microsoft.

Νέος Ransomware - Zenis

Τα "μεγάλα" νέα της προ-προηγούμενης εβδομάδας ήταν η εμφάνιση του Zenis. Προς το παρόν είναι άγνωστος ο τρόπος επιμόλυνσης με τον συγκεκριμένο Ransomware, όμως υπάρχουν ήδη αρκετές αναφορές για θύματα. Το πιο ενοχλητικό είναι ότι ο Zenis εκτός από την κλασική κρυπτογράφηση, διαγράφει και όλα τα backup που θα βρει.

Νέος Ransomware - Stinger

Τοποθετεί την επέκταση .stinger και αφήνει Ransom Note με τίτλο About Stinger unlocking instructions.txt.

Νέος Ransomware, AVCrypt

Το καινούργιο με αυτόν, είναι ότι προσπαθεί να απεγκαταστήσει το λογισμικό προστασίας (antivirus) του Η/Υ στον οποίο επιτίθεται.
Επίσης, μιας και κλείνει διάφορα services των windows και δεν περιλαμβάνει πληροφορίες επικοινωνίας, θεωρούμε ότι το εν λόγω είναι wiper.

Είναι χαρακτηριστικό ότι το Ransom Note που αφήνει πίσω του είναι αυτό:

Ο Rapid 2.0 είναι Ρωσόφιλος

Αυτό γιατί αν εντοπίσει ρώσικη γλώσσα εγκατεστημένη στον Η/Υ που επιτίθεται, σταματάει τη διαδικασία και απεγκαθιστά τον εαυτό του.

Αυτά για τώρα.
Καλή εβδομάδα σε όλους!

Ευχαριστούμε την BleepingComputer για την παροχή υλικού.