6/5/19

Τα νέα των Ransomware, 6/5/2019

Είχαμε μία εβδομάδα με ενδιαφέροντα νέα, όπως τον MegaCortex που χτυπάει συστήματα της Sophos, όπως το σοβαρό κενό ασφαλείας στους WebLogic Servers μέσω του οποίου εγκαθίσταται Ransomware, είχαμε και πολλά νέα στελέχη των γνωστών "παικτών" (Dharma, Stop κλπ) αλλά και λύσεις μέσα από το NoMoreRansom! Project του οποίου είμαστε μέλη.

Ας τα δούμε αναλυτικά:

Κενό ασφαλείας σε WebLogic Servers, εγκαθιστά Ransomware 

Ένα κενό ασφαλείας στους WebLogic Servers ευθύνεται για την εγκατάσταση ενός νέου Ransomware που ονομάζεται Sodinokibi. 
Είναι απολύτως απαραίτητο οι admins να εγκαταστήσουν τις τελευταίες ενημερώσεις για να κλείσει το εν λόγω κενό ασφαλείας.
ΠΡΟΣΟΧΗ!  



CryptoWire στοχεύει συγκεκριμένα κολέγια

Το κολέγιο του Bellevue μοιάζει να στοχεύει ένα στέλεχος του CryptoWire. Μοιάζει να είναι υπό κατασκευή, αλλά επίσης μοιάζει να γράφτηκε με συγκεκριμένους σκοπούς.


Νέοι STOP

O STOP μοιάζει πλέον να είναι ο πιο δραστήριος Ransomware εκεί έξω. Κυριολεκτικά λαμβάνουμε δεκάδες αιτήματα για βοήθεια κάθε εβδομάδα, και δεν προλαβαίνουμε να καταγράφουμε τα νέα στελέχη που κυκλοφορούν καθημερινά.
Για την προηγούμενη εβδομάδα μόνο, είχαμε τους:
.etols, .guvara, .norvas, .moresa, .verasto, .roldatr, .hofos, .kiratos, todarius, .dutan και .hrosas.

Nέοι Dharma

Πάντως και από τον Dharma δεν έχουμε παράπονο, δεν μας αφήνει να βαριόμαστε.
Είχαμε τον FREDD να εμφανίζεται, είχαμε και τον TXT, είχαμε και τον .VIDEO, είχαμε και τον Wal, είχαμε και τον .bat (by the way, τι ακριβώς σκέφτονταν όταν αποφάσισαν να βάλουν την επέκταση .bat στα αρχεία? #facepalm), είχαμε και τον .MERS. Τι άλλο θέλουμε?


Nέος Ransomware - Prodecryptor

Τοποθετεί την επέκταση .Prodecryptor. Μοιάζει να είναι βασισμένο στον BlackHeart. 
Δείτε παρακάτω ένα βίντεο από την Cyber Security με τη δράση του:


Nέος Ransomware - Zeropadypt .... μηδενίζει τα δεδομένα

Kάποιος προφανώς καλός άνθρωπος δημιούργησε αυτό το έκτρωμα, το οποίο ενώ στο Ransom Note διατείνεται ότι αν κάποιος πληρώσει θα πάρει πίσω τα δεδομένα του, στην πραγματικότητα μηδενίζει τα δεδομένα. Τι να πει κανείς...



Aνησυχητικά νέα από τον MegaCortex

Σύμφωνα με ανακοίνωση της Sophos, είχαμε ξαφνική αύξηση επιθέσεων σε επαγγελματικά δίκτυα με αποτέλεσμα την εγκατάσταση του MegaCortex Ransomware και κρυπτογράφηση των δεδομένων.
Η ανακοίνωση αναφέρει ότι πιθανώς χρησιμοποιούν τα Emotet και Trickbot Malware σαν "όχημα" το οποίο χρησιμεύει για την εγκατάσταση άλλων κακόβουλων λογισμικών.
Τα νέα δεν είναι καθόλου καλά, καθώς χρησιμοποιούνται εξαιρετικά sophisticated τεχνικές που προσπαθούν να κλείσουν υπηρεσίες των Sophos firewall:

How MegaCortex strikes
The attacker, using stolen admin creds, executed a PowerShell script that was heavily obfuscated.
The initial triggering command that started the infection
Stripping back three layers of obfuscation reveals a series of commands that decodes a blob of base64-encoded data. The blob appears to be a Cobalt Strike script that opens a Meterpreter reverse shell into the victim’s network.
The attacker issues commands via the compromised domain controller (DC), which the attacker is remotely accessing using the reverse shell.
The DC uses WMI to push the malware — a copy of PsExec renamed rstwg.exe, the main malware executable, and a batch file — to the rest of the computers on the network that it can reach, and then runs the batch file remotely via PsExec.
The batch file appears to be just a long list of commands to kill 44 processes, issue stop commands to 189 different services, and switch the Startup Type for 194 different services to Disabled, which prevents them from starting up again.

The attackers target a lot of security software, including some Sophos services, to stop them and try to set them to Disabled, but a properly configured installation won’t allow this.

The final step of the batch file is to launch the previously-downloaded executable, winnit.exe. The batch file executes winnit with a command flag that is a chunk of base64-encoded data.

This command invokes winnit.exe to drop and execute a DLL payload with an eight-random-alphabetic character filename that performs the hostile encryption. There are also indications the attackers use other batch files, named with the numbers 1.bat through 6.bat, that are being used to issue commands to distribute the winnit.exe and the “trigger” batch file around the victim’s network.







Αυτά για τώρα! Καλή εβδομάδα σε όλους!


Ευχαριστούμε την BleepingComputer για την παροχή υλικού.
Ransomware σχετικά με: ,,,,,,,,
Που θα μας βρείτε:Νίκης 30, Αθήνα 105 57, Ελλάδα