30/4/18

Τα νέα των Ransomware, 30/4/2018

Δραστήρια η εβδομάδα που πέρασε, με αρκετό ενδιαφέρον. Είχαμε μεγάλη επίθεση σε σέρβερ κυβερνητικών οργανισμών των εξωτερικού με τον VevoLocker, μεγάλης έκτασης επιμόλυνση διάφορων ιστοσελίδων στο Πακιστάν και πολλά μικρά νέα αλλά δραστήρια στελέχη.

Ας τα δούμε αναλυτικά:

Νέος Ransomware - BlackHeart

Tοποθετεί την επέκταση .pay2me ή .BlackRouter στα κρυπτογραφημένα αρχεία. Μοιάζει να βασίζεται στον Spartacus, ενώ ο δημιουργός του είναι μεγάλος φαν του Star Wars.



Επίθεση στην ιστοσελίδα της διοίκησης της επαρχίας P.E.I.

Δεν είναι αστείο, σύμφωνα με τον Guardian, η ιστοσελίδα της διοίκησης της επαρχίας του Prince Edward Island χτυπήθηκε από Ransomware.
Τώρα αναρωτιέστε πού στο καλό είναι αυτό, πρόκειται για ένα
νησί του Καναδά.
Οι επισκέπτες της ιστοσελίδας της "κυβέρνησης" την Δευτέρα που μας πέρασε, έβλεπαν αυτό:


Σύμφωνα με τους επιτελείς της κυβέρνησης, δεν υπήρξε διαρροή προσωπικών δεδομένων. Αξιωματούχος συμπλήρωσε:

Like most exploits the software that we were using had a particular 
vulnerability that was exploited by this hacker in order to modify the site


Νέος GandCrab - χρησιμοποιεί proxy της Ahn Lab!

Πρόκειται περισσότερο για εσωτερική έκδοση, και όχι για καινούργια. Το ενδιαφέρον είναι ότι χρησιμοποιούν proxy με το όνομα της Ahn Lab (που είναι legit εταιρία antivirus), όπως είχαν κάνει στο παρελθόν με την BitDefender.


Nέος PUBG - 999hours edition

Θυμάστε τον PUBG, που ζητούσε από τα θύματά του να παίξουν PUBG? Βγήκε και νέα έκδοση, που ζητάει να παίξει κάποιος 999 ώρες.
Εξακολουθεί να είναι "αθώος" αφού δίνει το κλειδί σε κάποιον ο οποίος δε θέλει να παίξει, οπότε παραμένει το αστείο κάποιου.


Νέος Xorist με απίστευτα ενοχλητικό extension

Που τον θυμήθηκαν τον Xorist? Toν σπάσαμε. ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!
Τοποθετεί την απίστευτα ενοχλητική επέκταση PAY_IN_MAXIM_24_HOURS_OR_ALL_YOUR_FILES_WILL_BE_PERMANENTLY_DELETED_PLEASE_BE_REZONABLE_you_have_only_1_single_chance_to_make_the_payment 


Νέος Ransomware - Oblivion

Αυτός είναι εντελώς καινούργιος και μοιάζει να είναι βασισμένος στον Scarab. Προς το παρόν δεν έχουμε πολλά να πούμε. Τοποθετεί την επέκταση .OBLIVION.



Ο VevoLocker χτυπάει και το υπουργείο ενέργειας της Ουκρανίας

Διαβάζουμε στο BBC, ότι το υπουργείο ενέργειας της Ουκρανίας χτυπήθηκε από τον Vevolocker, ο οποίος πριν 3 μέρες είχε χτυπήσει κι εκείνο περίεργο νησι του Καναδά. Οι επισκέπτες της ιστοσελίδας έβλεπαν την παρακάτω εικόνα, ενώ σύμφωνα με το ρεπορτάζ,

Hackers have used ransomware to take the website of Ukraine's energy ministry offline and encrypt its files. The website currently contains a message written in English, demanding a ransom of 0.1 bitcoin - worth $927.86 (£664.98) by today's exchange rate.



Επίθεση σε HPE iLO

Γενικευμένη επίθεση εναντίον των πλατφορμών απομακρυσμένης διαχείρισης HPE iLO παρατηρήθηκε τις τελευταίες μέρες. Στόχος ήταν όσες πλατφόρμες ήταν απευθείας συνδεδεμένες στο ίντερνετ, κάτι που είναι πάντα κακή ιδέα, δεδομένου μάλιστα και κάποιων γνωστών προβλημάτων ασφαλείας παλιότερων εκδόσεων της εν λόγω πλατφόρμας.
Οι επιτιθέμενοι ζητούσαν 2 Bitcoin.


Nέος LockCrypt - Mich

Καταφέραμε και τον σπάσαμε. Αν έχετε μολυνθεί ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ ΚΑΙ ΕΛΑΤΕ ΣΕ ΕΠΙΚΟΙΝΩΝΙΑ ΜΑΖΙ ΜΑΣ. Toποθετεί την επέκταση .mich


Nέος CryptConsole - Βρήκαμε λύση

Τοποθετεί την επέκταση something_ne@india.com _ [hex] ή something_ne@india.com_ [ random_ 0-9A-Z] ή [ ransom_email] _ [0-9A-Z]
Το ransom email είναι xzet@tutanota.com.
Είναι γραμμένος σε C#


EXOYME BΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!


Ο ΚCW Ransomware μολύνει ιστοσελίδες στο Πακιστάν

Η ομάδα Kerala Cyber Warriors, που προέρχεται από την Ινδία, έχει εξαπολύσει επίθεση εναντίον ιστοσελίδων από το Πακιστάν, εγκαθιστώντας Ransomware. Δείτε παρακάτω ένα βίντεο για το αποτέλεσμα της επιμόλυνσης με τον KCW.

Αυτά για τώρα.
Καλή εβδομάδα σε όλους!

Ευχαριστούμε την BleepingComputer για την παροχή υλικού.