29/5/18

Τα νέα των Ransomware, 29/5/2018

Πολύ ήσυχη η εβδομάδα που μας πέρασε στον τομέα των Ransomware, και αυτό είναι πάντα καλό νέο.

Τα κυριότερα νέα αφορούν μία μεγάλη καμπάνια διασποράς του CryptON που έχει μολύνει πολύ κόσμο (και στην Ελλάδα).

Μιας και ο CryptON διασπείρεται μέσα από Remote Desktop που έχουν παραβιαστεί, είναι σημαντικό να αναφέρουμε για ΑΛΛΗ μία φορά, ότι το RDP θα πρέπει να ΜΗΝ είναι απευθείας συνδεδεμένο στο ίντερνετ, αλλά πίσω από VPN.


Ας τα δούμε αναλυτικά:

Nέος Unlock92 - cdrpt

Γνωστός και ως Unlckr, εμφανίστηκε με νέα επέκταση.
Παρακάτω, βίντεο της CyberSecurity με επίδειξη του τρόπου επιμόλυνσης.

Θερίζει ο CryptON


Mία τεράστια καμπάνια διασποράς του CryptON είχαμε αυτήν την εβδομάδα, και συνεχίζεται καθώς γράφονται αυτές οι γραμμές.
Στο γράφημα φαίνονται οι καταγραφές των δηλωμένων επιμολύνσεων ως τις 25/5.

Ο CryptON διασπείρεται μέσω χακαρισμένων Remote Desktop.
Όταν οι επιτιθέμενοι αποκτήσουν πρόσβαση στο θύμα μέσω του RDP, εγκαθιστούν χειροκίνητα τον CryptON, ο οποίος κρυπτογραφεί τα δεδομένα και τοποθετεί την επέκταση .ransomed@india.com 
Σε κάθε φάκελο αφήνει Ransom Note με τίτλο HOWTODECRYPTFILES.html το οποίο είναι αυτό:

Για αυτήν την έκδοση του CryptON δεν έχουμε βρει λύση ακόμα. Υπήρχε λύση για τις παλιότερες εκδόσεις του, όχι όμως και για αυτήν.

Μιας και ο CryptON διασπείρεται χειροκίνητα μέσω ευάλωτων Remote Desktop, είναι σημαντικό να τονίσουμε πως πρέπει να είναι κλειστές οι υπηρεσίες Remote Desktop για όσους δεν τις  χρησιμοποιούν, ή να είναι πίσω από VPN για όσους τις χρησιμοποιούν.

Nέος RotorCrypt

Eίχαμε καιρό να τον δούμε αυτόν, εμφανίστηκε με νέα επέκταση όπως φαίνεται στην εικόνα παρακάτω. Κατά τ' άλλα, δεν είδαμε σημαντικές αλλαγές. 


Νέος Ransomware - PGPSnippet

Αυτός είναι καινούργιος, τοποθετεί την επέκταση .decodeme666@tutanota.com και είναι εντελώς κακογραμμένος.
ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ -- ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!

21/5/18

Τα νέα των Ransomware, 21/5/2018

Για την εβδομάδα που πέρασε είχαμε συνέχεια της έξαρσης του GandCrab και του Samas, ενώ ενδιαφέρον παρουσίασαν ειδήσεις για χτυπήματα Ransomware σε διάφορες κυβερνητικές υπηρεσίες των ΗΠΑ.

Κατά τ' άλλα, παρατηρούμε αρκετά χτυπήματα CryptON/Sigrun στην Ελλάδα (προσοχή σε όλους!). 


Ας τα δούμε αναλυτικά:

Η αστυνομία του Riverside πέφτει θύμα Ransomware για δεύτερη φορά.


Επίθεση Ransomware δέχτηκε η αστυνομία του Riverside στο Ohio των ΗΠΑ, για δεύτερη φορά μέσα σε ένα μήνα.
Η επίθεση πραγματοποιήθηκε στις 4 Μαΐου αλλά έγινε γνωστή τώρα, καθώς έφτασαν στην πόλη στελέχη των μυστικών υπηρεσιών των ΗΠΑ για να διερευνήσουν την υπόθεση.
Αν και στην πρώτη επίθεση που έγινε στις 23/4/18, ανακοινώθηκε ότι χάθηκαν αρχεία που πήγαιναν μέχρι και 10 μήνες πίσω, αυτή τη φορά αναφέρθηκε ότι η απώλεια ήταν μερικών ωρών, καθώς υπήρχαν αντίγραφα.
Περισσότερα εδώ

Nέος Ransomware - CryptON

Βασίζεται στον Nemesis. Το ενδιαφέρον είναι ότι μπορεί να αναγνωρίσει Virtual Machines, στα οποία επιτίθεται επίσης. Τοποθετεί την επέκταση xxx.ransomed@india.com, όπου χχχ είναι το ID του θύματος. 


Nέος Ransomware/Wiper - Stalin

Αυτός είναι υπό κατασκευή, αλλά δουλεύει πολύ καλά και θα μπορούσε εύκολα να βγει στην κυκλοφορία.
Δίνει 10 λεπτά για να τοποθετηθεί ο σωστός κωδικός, ειδάλλως ξεκινάει να κάνει wipe τα δεδομένα του δίσκου.
Όσο "περιμένει" παίζει στο παρασκήνιο τον εθνικό ύμνο της Ρωσίας και εμφανίζει εικόνες του Στάλιν.
Προς το παρόν, ο κωδικός για να ξεκλειδώσει, προκύπτει αφαιρώντας την ημερομηνία επιμόλυνσης, από την ημερομηνία δημιουργίας και σχηματισμού της ΕΣΣΔ, δηλαδή 30/12/1922.
Το ενδιαφέρον είναι τις ημερομηνίες τις δέχεται γραμμένες με τον αμερικάνικο τρόπο, δηλαδή 1922.12.30.

Νέος Rapid - version 3 ΣΕ ΜΕΓΑΛΗ ΕΞΑΡΣΗ

Μία νέα έκδοση του Rapid είναι εκεί έξω και είναι σε έξαρση. Ήδη υπάρχουν πολλές αναφορές για επιμολύνσεις από πολλές χώρες.
Δυστυχώς ο συγκεκριμένος Ransomware δεν παρουσιάζει αδυναμίες, οπότε η αποκρυπτογράφησή του είναι αδύνατη. :(

Νέος Ransomware - Σήψη


Ονομάζεται Sepsis και εμφανίστηκε την Τετάρτη που μας πέρασε. Τοποθετεί την επέκταση .[Sepsis@protonmail.com].sepsis στα κρυπτογραφημένα αρχεία. Και όχι, δεν είναι ελληνικός.

Νέος Jigsaw - Booknish

Toποθετεί την επέκταση .booknish. Αφήνει κάτι εκφοβιστικά μηνύματα του τύπου "πλήρωσέ με τώρα ειδάλλως θα διαγράψω 1000 αρχεία αν κλείσεις τον Η/Υ".
Φυσικά, έχουμε βρεί λύση, μη πληρώσετε τα λύτρα.




Nέος Dharma - Bip

Δυστυχώς κυκλοφορεί ακόμα.
Εμφανίστηκε την

14/5/18

Τα νέα των Ransomware, 14/5/2018

Είναι σαφές ότι οι Ransomware έχουν κατεβάσει ταχύτητα και οι επιμολύνσεις είναι λιγότερες. Οι περισσότερες επιθέσεις πραγματοποιούνται πλέον μέσω RDP (Remote Desktop) και είναι στοχευμένες.

Έχουμε φυσικά και πολλά μικρά στελέχη που δημιουργούνται κάθε εβδομάδα, αν και τις περισσότερες φορές δεν έχουν καμία ελπίδα να κάνουν κάτι σημαντικό.


Τις προηγούμενες δύο εβδομάδες, τα κυριότερα νέα είχαν να κάνουν με αλλεπάλληλες εκδόσεις του GandCrab, ο οποίος μοιάζει να είναι ο πιο δραστήριος Ransomware των τελευταίων μηνών. Είχαμε επίσης μία αναφορά του FBI που μοιάζει με ανέκδοτο και τον Facebook Ransomware που περισσότερο είναι wiper.

Ας τα δούμε αναλυτικά:

Το Υπουργείο Υγείας της Αγγλίας αναβαθμίζει σε Win10 φοβούμενο νέο ξέσπασμα τύπου WannaCry

Tο Υπουργείο Υγείας και Κοινωνικής Πρόνοιας του Ηνωμένου Βασιλείου ανακοίνωσε ότι θα αναβαθμίσει όλα τα συστήματα της σε Windows 10, καθώς φοβάται ξέσπασμα τύπου WannaCry. Οι υπεύθυνοι αναφέρθηκαν στην "προηγμένη" ασφάλεια των W10.

The UK Department of Health and Social Care has announced that it will transition all National Health Service (NHS) computer systems to Windows 10.
Officials cited the operating system's more advanced security features as the primary reason for upgrading current systems, such as the SmartScreen technology included with Microsoft Edge (a Google Safe Browsing-like system) and Windows Defender, Microsoft's sneakily good antivirus product.

Nέος Ransomware - Facebook // FBLocker

Πρόκειται μάλλον για wiper παρά για Ransomware. Δημιουργεί ένα κλειδί για κάθε αρχείο που κρυπτογραφεί, το οποίο κλειδί όμως δεν το αποθηκεύει πουθενά. Δεν υπάρχει τρόπος να ανακτηθούν δεδομένα. Επίσης παριστάνει ότι είναι από τη Ρωσία, αλλά τα ρώσικα τους είναι επιπέδου Μπαγκλαντες (no offense για τη συμπαθή χώρα). 


FBI: Oι αναφορές για επιμολύνσεις Ransomware παρουσίασαν μείωση το 2017 #not


Σε ένα report του FBI το οποίο θεωρούμε ότι δεν αντικατοπτρίζει σε καμία περίπτωση την πραγματικότητα, αναφέρεται ότι οι επιμολύνσεις από Ransomware παρουσίασαν μείωση το 2017 (!), φτάνοντας σχεδόν σε επίπεδα 2014 (!!!). Κάτι που μας έκανε να γελάσουμε.

2014201520162017
1,4022,4532,6731,783


Φυσικά, τα νουμερά αυτά αντιστοιχούν στις αναφορές που γίνονται στην πλατφόρμα IC3 του FBI και δεν έχουν καμία σχέση με το τι συμβαίνει πραγματικά, αφού όπως ξέρουμε, ένας τεράστιος αριθμός από θύματα δεν κάνει αναφορά του συμβάντος, είτε γιατί παραμελεί, είτε γιατί η επιμόλυνση δεν έχει αντίκτυπο μιας και υπήρχαν αντίγραφα, είτε γιατί αποφασίζει να πληρώσει τα λύτρα, είτε γιατί απευθύνεται σε εμας (ή αντίστοιχες εταιρίες σαν τη δική μας) για την αποκρυπτογράφηση, είτε τέλος γιατί τα κρυπτογραφημένα δεδομένα δεν έχουν καμία αξία.

Μπορείτε να δείτε την αναφορά του FBI για το 2017 σε μορφή PDF εδώ.

Το BlackHeart χρησιμοποιεί το AnyDesk?

Διαβάζουμε:
We recently discovered a new ransomware (Detected as RANSOM_BLACKHEART.THDBCAH), which drops and executes the legitimate tool known as AnyDesk alongside its malicious payload.  This isn’t the first time that a malware abused a similar tool. TeamViewer, a tool with more than 200 million users, was abused as by a previous ransomware that used the victim’s connections as a distribution method.
In this instance, however, RANSOM_BLACKHEART bundles both the legitimate program and the malware together instead of using AnyDesk for propagation.

Περισσότερα εδώ

Νέος Ransomware - Useless


Useless όνομα και πράμα, μάλλον...