Εμφάνιση αναρτήσεων με ετικέτα WannaCry. Εμφάνιση όλων των αναρτήσεων
Εμφάνιση αναρτήσεων με ετικέτα WannaCry. Εμφάνιση όλων των αναρτήσεων

Παρασκευή, 24 Μαΐου 2019

Ανάκτηση δεδομένων από σκληρούς δίσκους





Σε φουλ ρυθμούς για να προλάβουμε να παραδώσουμε δεδομένα πριν το Σαββατοκύριακο.

Now, that's what we call a busy Friday 

Σάββατο, 18 Μαΐου 2019

Τα νέα των Ransomware, 20/5/2019

Συνοπτικά όλη η εβδομάδα:
STOP - Dharma - STOP - Dharma - STOP - Dharma - Dharma - Dharma - STOP - Dharma.


Είχαμε και την ανάλυση της ProPublica η οποία ντροπιάζει το επάγγελμά μας, χάρη σε κάποιους "συναδέλφους" που ισχυρίζονται ότι αποκρυπτογραφούν Ransomware, ενώ στην πραγματικότητα το μόνο που κάνουν είναι να πληρώνουν τα λύτρα και να εισπράτουν την προμήθεια. Χαρακτηριστικά είναι τα παραδείγματα και "συναδέλφων" στη χώρα μας.

Ας τα δούμε αναλυτικά:


Νέοι STOP

Πλέον θεωρούμε ότι είναι αδύνατον να καταμετρηθούν όλα τα στελέχη του STOP που κυκλοφορούν εκεί έξω. Εμείς έχουμε καταγεγραμμένα περισσότερα από 80, και αυτά μόλις το τελευταίο δίμηνο.
Για την εβδομάδα που μεσολάβησε, είχαμε:
- Τον .codnat
- Toν .codnat1
- Toν .bufas
- Τον .dotmap

- Τον .fordan
- Toν .assumer
Όλοι αυτοί είναι κοινοί μεταξύ τους, απλώς τους διαχειρίζονται διαφορετικοί εγκληματίες.

Δευτέρα, 17 Δεκεμβρίου 2018

Τα νέα των Ransomware, 17/12/2018

Παραδοσιακά, οι μέρες πριν από τα Χριστούγεννα είναι πάντα πιο ήσυχες στον τομέα των Ransomware, πιθανώς λόγω του γεγονότος ότι πολύς κόσμος μετακινείται για τις γιορτές και πολλές εταιρίες υπολειτουργούν.

Είχαμε νέα στελέχη Dharma και Scarab κλασικά, ενώ είχαμε και ανησυχητική εξέλιξη στον τομέα του Sextortion.

Ας τα δούμε αναλυτικά:

Sextortion tactics

Ανησυχητικές διαστάσεις παίρνει η τακτική του sextortion, μέσω τις οποίας οι κυβερνο-εκβιαστές αποκομίζουν μεγάλα χρηματικά ποσά.


Τι είναι το sextortion?


Το υποψήφιο θύμα λαμβάνει ένα email στο οποίο αναφέρεται ότι έχει πιαστεί επαυτοφόρω να παρακολουθεί ιστοσελίδες με πορνογραφικό περιεχόμενο (μερικές φορές αναφέρουν και παιδική πορνογραφία). Γίνεται λόγος για χρήση της κάμερας του Η/Υ του θύματος, μέσω της οποίας έχουν αποδεικτικά της ... "δράσης" του θύματος και απειλούν να δημοσιεύσουν φωτογραφίες του σε προσωπικές στιγμές την ώρα που παρακολουθούν το πορνογραφικό περιεχόμενο.
Φυσικά, τίποτα από αυτά δεν υφίσταται.


Τον τελευταίο καιρό έχει εξελιχθεί η τακτική τους και έχει γίνει εξυπνότερη. 
Στοχεύουν σε θύματα των οποίων το email και ο κωδικός του έχουν διαρρεύσει και αποστέλλουν το παρακάτω email.



To κείμενο είναι το εξής:

Hello!

I have very bad news for you.
09/08/2018 - On this day, I got access to your OS and gained complete control over your system. **@gmail.com
On this day your account **@gmail.com has password: XXXX

How I made it:

In the software of the router, through which you went online, was avulnerability.
I just got into the router and got root rights and put my malicious code on it. 
When you went online, my trojan was installed on the OS of your device.

After that, I made a full dump of your (I have all your address book, history of viewing sites, all files, phone numbers and addresses of all your contacts).

A month ago, I wanted to your device and ask for a not big amount of btc to unlock.
But I looked at the sites that you regularly visit, and I was shocked by what I saw!!!
I'm talk you about sites for adults.

I want to say - you are a BIG pervert. Your fantasy is shifted far away from the nromal course!

And i got an idea....
I made a screenshot of the adult sites where you have fun (do you understand what it is about, huh?).
After that, I made a screenshot of your joys (using the camera of your device) and glued them together.
Turned out amazing! You are so spectacular!

As proof of my words, I made a video presentation in Power Point.
And laid out in a private cloud, look You can copy the link below and paste it into the browser.

https://google.com/url?Q=[url here]

I'm know that you would like to show these screenshots to your friends, relatives or colleagues.
I think #381 is a very, very small amount for my silence.
Besides, I have been spying on your for so long, having spect a lot of time!

Πολλά, λοιπόν, από τα θύματα θα προσπαθήσουν να κατεβάσουν το βίντεο που αποτελεί "απόδειξη" των πράξεών τους, με αποτέλεσμα να επιμολυνθούν με δύο διαφορετικά κακόβουλα λογισμικά:

Αρχικά με τον Azorult, μέσω του οποίου -πραγματικά αυτή τη φορά- αποσπούν προσωπικά στοιχεία όπως συνθηματικά πρόσβασης, ιστορικά συνομιλιών κλπ,
και στη συνέχεια επιμολύνονται με GandCrab και κρυπτογραφούνται τα δεδομένα τους.


Άλλη μία απόδειξη ότι πρέπει να δείχνουμε μεγάλη προσοχή σε ποια λινκ πατάμε!

Νέος GlobeImposter - EQ

Toποθετεί την επέκταση .fuck. Όχι κάτι παραπάνω καινούργιο.


Νέος Gerber 

Mετά τους Gerber1, 3 & 5 που αναφέραμε την προηγούμενη εβδομάδα, είχαμε άλλον έναν αυτήν την εβδομάδα με τον .FJ7QvaR9VUmi


Νέος Dharma - Santa

Στο κλίμα των ημερών, νέος Dharma με επέκταση .santa. Τίποτα απολύτως το καινούργιο.




Δευτέρα, 25 Ιουνίου 2018

Τα νέα των Ransomware 25/6/18

Μία εξαιρετικά καλή εβδομάδα ήταν αυτή που πέρασε στον τομέα των Ransomware.
Είχαμε πολλές αποκρυπτογραφήσεις. 

Πέρα από αυτό, αυτή ήταν η εβδομάδα των Scarab. Scarab παντού. Ευτυχώς, στη συντριπτική πλειοψηφία των περιπτώσεων έχουμε βρει λύση, μη πληρώσετε τα λύτρα και ελάτε σε επικοινωνία μαζί μας. 

Στα άλλα καλά νέα, αποκρυπτογραφήσαμε και 2-3 ακόμα μικρότερα στελέχη όπως ο Sepsis και ο νέος Everbe.


Ας τα δούμε αναλυτικά:

NEOI SCARAB -- MH ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!!

Την εβδομάδα που μας πέρασε είχαμε τεράστια έξαρση του Scarab με πολλά νέα στελέχη. ΕΧΟΥΜΕ ΚΑΤΑΦΕΡΕΙ ΚΑΙ ΕΧΟΥΜΕ ΑΠΟΚΡΥΠΤΟΓΡΑΦΗΣΕΙ ΤΗ ΣΥΝΤΡΙΠΤΙΚΗ ΠΛΕΙΟΨΗΦΙΑ ΤΩΝ ΣΤΕΛΕΧΩΝ ΑΥΤΩΝ, οπότε ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ ΚΑΙ ΕΛΑΤΕ ΣΕ ΕΠΙΚΟΙΝΩΝΙΑ ΜΑΖΙ ΜΑΣ.

Το πρώτο που εμφανίστηκε ήταν το στέλεχος .good.


To δεύτερο ήταν το στέλεχος Danger το οποίο τοποθετεί την επέκταση .fastrecovery@xmpp.jp στα κρυπτογραφημένα αρχεία.

Μετά, εμφανίστηκε ο Oneway, o πρώτος που εμφανίστηκε που ήταν στα Ρώσικα. Αφήνει ένα Ransom Note με τίτλο Расшифровать файлы oneway.TXT

Ο επόμενος ήταν ο Bomber με μεγάλη καμπάνια σε εξέλιξη στη Ρωσία. Τοποθετεί την επέκταση .bomber
Πέμπτη στη σειρά ήταν η έκδοση RECME που τοποθετεί την επέκταση .recme και αφήνει Ransom Note HOW_TO_RECOVER_ENCRYPTED_FILES.TXT .

Έκτο στέλεχος, το DAN. Τοποθετεί την επέκταση .dan@cock.email.

Για άλλη μια φορά, για όλα τα παραπάνω, αν έχετε μολυνθεί, ΕΛΑΤΕ ΣΕ ΕΠΙΚΟΙΝΩΝΙΑ ΜΑΖΙ ΜΑΣ!

Αποκρυπτογραφήσαμε και τον Sepsis!

Eίχαμε γράψει για αυτόν πριν ένα μήνα. Βρήκαμε λύση, οπότε ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!




Υπάρχει ένα μικρό θεματάκι με την αποκρυπτογραφήση, η οποία σχετίζεται με κάποιο bug στο ίδιο το Ransomware, και συγκεκριμένα σε κάποιο padding bug, το οποίο προκαλεί πρόβλημα στην αποκρυπτογράφηση των τελευταίων 16 bytes των αρχείων, στην περίπτωση που το μέγεθός τους δεν είναι πολλαπλάσιο του 16. Κατά τ' άλλα όμως, ό,τι έχουμε δοκιμάσει λειτουργεί μια χαρά.

Νέος Ransomware - BadMonkey

Είναι υπό κατασκευή με πολλά προβλήματα προς το παρόν.



Nέα έκδοση του FileIce, ζητάει να συμπληρώσετε δημοσκοπήσεις!

Είχαμε γράψει το 2016 για αυτόν, τώρα εμφανίστηκε και νέα έκδοση!
Ζητάει από τα θύματά του να συμπληρώσουν ερωτηματολόγια, προκειμένου να τους δώσει το κλειδί αποκρυπτογράφησης...






Νέος Ransomware - Pulpy

Τίποτα απολύτως το αξιόλογο. Τοποθετεί την επέκταση AES στα κρυπτογραφημένα αρχεία.

Δύο νέα στελέχη του CyberSCCP

To πρώτο τοποθετεί την επέκταση .cybersccp στα κρυπτογραφημένα αρχεία


και το δεύτερο με πιο εντυπωσιακό background


Δευτέρα, 14 Μαΐου 2018

Τα νέα των Ransomware, 14/5/2018

Είναι σαφές ότι οι Ransomware έχουν κατεβάσει ταχύτητα και οι επιμολύνσεις είναι λιγότερες. Οι περισσότερες επιθέσεις πραγματοποιούνται πλέον μέσω RDP (Remote Desktop) και είναι στοχευμένες.

Έχουμε φυσικά και πολλά μικρά στελέχη που δημιουργούνται κάθε εβδομάδα, αν και τις περισσότερες φορές δεν έχουν καμία ελπίδα να κάνουν κάτι σημαντικό.


Τις προηγούμενες δύο εβδομάδες, τα κυριότερα νέα είχαν να κάνουν με αλλεπάλληλες εκδόσεις του GandCrab, ο οποίος μοιάζει να είναι ο πιο δραστήριος Ransomware των τελευταίων μηνών. Είχαμε επίσης μία αναφορά του FBI που μοιάζει με ανέκδοτο και τον Facebook Ransomware που περισσότερο είναι wiper.

Ας τα δούμε αναλυτικά:

Το Υπουργείο Υγείας της Αγγλίας αναβαθμίζει σε Win10 φοβούμενο νέο ξέσπασμα τύπου WannaCry

Tο Υπουργείο Υγείας και Κοινωνικής Πρόνοιας του Ηνωμένου Βασιλείου ανακοίνωσε ότι θα αναβαθμίσει όλα τα συστήματα της σε Windows 10, καθώς φοβάται ξέσπασμα τύπου WannaCry. Οι υπεύθυνοι αναφέρθηκαν στην "προηγμένη" ασφάλεια των W10.

The UK Department of Health and Social Care has announced that it will transition all National Health Service (NHS) computer systems to Windows 10.
Officials cited the operating system's more advanced security features as the primary reason for upgrading current systems, such as the SmartScreen technology included with Microsoft Edge (a Google Safe Browsing-like system) and Windows Defender, Microsoft's sneakily good antivirus product.

Nέος Ransomware - Facebook // FBLocker

Πρόκειται μάλλον για wiper παρά για Ransomware. Δημιουργεί ένα κλειδί για κάθε αρχείο που κρυπτογραφεί, το οποίο κλειδί όμως δεν το αποθηκεύει πουθενά. Δεν υπάρχει τρόπος να ανακτηθούν δεδομένα. Επίσης παριστάνει ότι είναι από τη Ρωσία, αλλά τα ρώσικα τους είναι επιπέδου Μπαγκλαντες (no offense για τη συμπαθή χώρα). 


FBI: Oι αναφορές για επιμολύνσεις Ransomware παρουσίασαν μείωση το 2017 #not


Σε ένα report του FBI το οποίο θεωρούμε ότι δεν αντικατοπτρίζει σε καμία περίπτωση την πραγματικότητα, αναφέρεται ότι οι επιμολύνσεις από Ransomware παρουσίασαν μείωση το 2017 (!), φτάνοντας σχεδόν σε επίπεδα 2014 (!!!). Κάτι που μας έκανε να γελάσουμε.

2014201520162017
1,4022,4532,6731,783


Φυσικά, τα νουμερά αυτά αντιστοιχούν στις αναφορές που γίνονται στην πλατφόρμα IC3 του FBI και δεν έχουν καμία σχέση με το τι συμβαίνει πραγματικά, αφού όπως ξέρουμε, ένας τεράστιος αριθμός από θύματα δεν κάνει αναφορά του συμβάντος, είτε γιατί παραμελεί, είτε γιατί η επιμόλυνση δεν έχει αντίκτυπο μιας και υπήρχαν αντίγραφα, είτε γιατί αποφασίζει να πληρώσει τα λύτρα, είτε γιατί απευθύνεται σε εμας (ή αντίστοιχες εταιρίες σαν τη δική μας) για την αποκρυπτογράφηση, είτε τέλος γιατί τα κρυπτογραφημένα δεδομένα δεν έχουν καμία αξία.

Μπορείτε να δείτε την αναφορά του FBI για το 2017 σε μορφή PDF εδώ.

Το BlackHeart χρησιμοποιεί το AnyDesk?

Διαβάζουμε:
We recently discovered a new ransomware (Detected as RANSOM_BLACKHEART.THDBCAH), which drops and executes the legitimate tool known as AnyDesk alongside its malicious payload.  This isn’t the first time that a malware abused a similar tool. TeamViewer, a tool with more than 200 million users, was abused as by a previous ransomware that used the victim’s connections as a distribution method.
In this instance, however, RANSOM_BLACKHEART bundles both the legitimate program and the malware together instead of using AnyDesk for propagation.

Περισσότερα εδώ

Νέος Ransomware - Useless


Useless όνομα και πράμα, μάλλον...

Τρίτη, 26 Δεκεμβρίου 2017

Τα Χριστουγεννιάτικα νέα των Ransomware, 25/12/2017

Καλά Χριστούγεννα και καλές γιορτές σε όλους!

Οι γιορτινές ημέρες είναι εδώ και ακόμα και οι δημιουργοί των Ransomware κάνουν διάλειμμα...
Αυτήν την εβδομάδα που πέρασε, είχαμε πολύ λίγα στελέχη να διασπείρονται και ελάχιστες επιμολύνσεις, κάτι που πάντα είναι καλό νέο.

Τα κυριότερα νέα αφορούν την επίσημη τοποθέτηση της κυβέρνησης των ΗΠΑ μέσω της οποίας κατονομάζει την Βόρεια Κορέα ως υπεύθυνη για τη διασπορά του WannaCry, ο οποίος είχε σπείρει το χάος σε όλο τον κόσμο το Μάιο που μας πέρασε.
Επίσης, είχαμε συλλήψεις ατόμων που σχετίζονται με την διασπορά του Cerber και του CTB-Locker.

Ας τα δούμε αναλυτικά:


Ψεύτικος πολλαπλασιαστής Bitcoin εγκαθιστά Ransomware

Έχετε Bitcoin? Διαβάζετε "κάπου" για ένα λογισμικό που θα πολλαπλασιάσει τα Bitcoin σας και το κατεβάζετε. Προφανώς δεν είστε και πολύ μέσα στα πράγματα, γιατί αλλιώς θα γνωρίζατε ότι τα Bitcoin δεν πολλαπλασιάζονται έτσι απλά...
Κατεβάζετε, λοιπόν το Bitcoin-x2 κολλάτε έναν περιποιημένο Ransomware και μετά ξοδεύετε τα Bitcoin σας σε λύτρα..





Συλλήψεις για τον CTB-Locker και τον Cerber (vid)

Οι αρχές της Ρουμανίας συνέλαβαν πέντε άτομα με τις κατηγορίες της διασποράς email με παγιδευμένα επισυναπτόμενα, προσπαθώντας να μολύνουν χρήστες με τον CTB-Locker και τον Cerber.

Οι αρχές ανακοίνωσαν ότι πρόκειται για διανομείς των Ransomware και όχι για τους δημιουργούς. Οι συλληφθέντες χρησιμοποιούσαν RaaS (Ransomware As A Service) και έστελναν αρχεία που έμοιαζαν με τιμολόγια προκειμένουν να μολύνουν χρήστες και να απαιτήσουν λύτρα.
Από τα χρήματα που εισέπρατταν, το 30% πήγαινε στο RaaS.


Παρακάτω είναι ένα βίντεο από την εισβολή της αστυνομίες σε διάφορες τοποθεσίες και από τις αντίστοιχες συλλήψεις.



Ο Λευκός Οίκος κατηγορεί επίσημα την Βόρεια Κορέα για τη διασπορά του WannaCry.

Ο υπεύθυνος ασφαλείας των ΗΠΑ Thomas Bossert σε δήλωσή του στη Wall Street Journal, κατονόμασε τη Βόρεια Κορέα ως υπεύθυνη για τη διασπορά του WannaCry που προκάλεσε παγκόσμιο χάος τον Μάιο που μας πέρασε. Μπορείτε να διαβάσετε στο παραπάνω λινκ αναλυτικά τη δήλωση.


ΝΕA ΣΤΕΛΕΧΗ του RSAUtil Ransomware

Δύο νέα στελέχη του RSAUtil είχαμε αυτήν την εβδομάδα, το ένα από αυτά

Σάββατο, 25 Νοεμβρίου 2017

Τα Νέα των Ransomware, 26/11/2017

Ησυχία επικράτησε την εβδομάδα που μας πέρασε. Το ενδιαφέρον μας κίνησε ο Scarab Ransomware, κυρίως λόγω του τρόπου διασποράς του, καθώς και ο qkG ο οποίος διανέμεται μέσω μολυσμένου αρχείου office. Πέραν αυτών, ήταν μία εβδομάδα με μικρά στελέχη σε διάφορα στάδια κατασκευής.

Ας τα δούμε αναλυτικά:



Νέος Ransomware: WannaDie

H εβδομάδα ξεκινάει με έναν Ρώσικο Ransomware, που αρχικά πιστέψαμε ότι προσπαθεί να μιμηθεί τον WannaCry. Μετά είδαμε ότι δεν κρυπτογραφεί, οπότε τον εκλαμβάνουμε ως αστείο.


Νέa έκδοση του Dharma/Crysis

Tην επέκταση .java χρησιμοποιούν πλέον σε κάποιες από τις εκδόσεις τους οι δημιουργοί του Dharma.
Την εβδομάδα που μας πέρασε εμφανίστηκαν ήδη 3 στελέχη.

Ομοίως...

Ο Cryakl χρησιμοποιεί πλέον την έκδοση με την οποία τοποθετεί

Σάββατο, 21 Οκτωβρίου 2017

Τα νέα των Ransomware, 21/10/2017


Και αυτήν την εβδομάδα είχαμε αρκετά μικρά στελέχη να εμφανίζονται ή να επανεμφανίζονται, τα μεγάλα νέα όμως ήταν η εμφάνιση του Magniber και η χρήση του Hermes Ransomware σαν βιτρίνα για τη ληστεία σε μία τράπεζα στην Ταϊβάν. 

Ας τα δούμε αναλυτικά:

ΒορειοΚορεάτες πίσω από τη ληστεία τράπεζας στην Ταϊβάν

Μην φανταστείτε ότι μπήκαν με όπλα και ζήτησαν από τους υπαλλήλους να αδειάσουν τα ταμεία.
Η ιστορία έχει ως εξής, και είναι ιδιαίτερα ενδιαφέρουσα:

Πίσω από τη ληστεία, σύμφωνα με όλες τις ενδείξεις, κρύβεται η σπείρα Lazarous Group, μία ομάδα hackers από τη Βόρεια Κορέα.

Στις αρχές του μήνα, υπεύθυνοι της τράπεζες FEIB (Far Eastern International Bank) στην Ταϊβάν, ανακάλυψαν ότι έχει γίνει παραβίαση στα συστήματα της τράπεζας. Η παραβίαση είχε ως στόχο τη μεταφορά 60 εκατομμυρίων δολλαρίων (!) σε τράπεζες της Σρι Λάνκα, της Καμπότζης και των ΗΠΑ.


Οι επιτιθέμενοι έστειλαν email με παγιδευμένα αρχεία Word και Excel σε εργαζόμενους της τράπεζας. Τα αρχεία αυτά, με το άνοιγμά τους, εγκαθιστούσαν το ζητούμενο Malware. Στη συνέχεια, χρησιμοποιώντας SMB μπήκαν πρακτικά στο δίκτυο της τράπεζας.

Αφού χαρτογράφησαν το δίκτυο της τράπεζας και στόχευσαν Η/Υ που κατείχαν ευαίσθητο υλικό, τους έστειλαν άλλο malware το οποίο είχαν φτιάξει οι ίδιοι. Αυτή η επίθεση συνέβη την 1/10/17.


Στις 3/10, οι Lazarus χρησιμοποίησαν το συνθηματικό πρόσβασης ενός υπαλλήλου της τράπεζας και απέκτησαν πρόσβαση στον λογαριασμό SWIFT. Έτσι, έστειλαν χρήματα σε διαφορετικές τράπεζες της Σρι Λάνκα, της Καμπότζης και των ΗΠΑ.
Εκεί έγινε και το λάθος των Lazarus, που οδήγησε στην αποκάλυψη της παραβίασης από την τράπεζα: Χρησιμοποίησαν τους κωδικούς συναλλαγής MT103 και MT202COV, όμως τους τελευταίους τους τοποθέτησαν λανθασμένα.


Μόλις η FEIB ανακάλυψε την παραβίαση, οι Lazarus εξαπέλησαν στο δίκτυο της τράπεζας τον Hermes Ransomware με σκοπό να κρυπτογραφήσουν και να καταστρέψουν τα αποδεικτικά στοιχεία της εισβολής τους.

Να πούμε ότι ο Hermes είναι ένας Ransomware που κυκλοφόρησε το Φεβρουάριο και λίγο αργότερα βρέθηκε λύση και μπόρεσε να αποκρυπτογραφηθεί. Όμως, οι δημιουργοί του έφτιαξαν λίγο αργότερα την έκδοση 2.0, για την οποία δεν υπάρχει λύση παγκοσμίως.


Οι Lazarus πάντως δεν εξαπέλησαν την έκδοση 2.0, αλλά μία τροποποιημένη έκδοσή της. Αντί να αφήνει αυτό, που είναι το κλασικό Ransom Note του Hermes,


άφηνε ένα popup που απλά έλεγε Finish Work και ένα αρχείο "Unique_id_do_not_remove" σε κάθε φάκελο του Η/Υ.

Οι αρχές της Σρι Λάνκα ανέφεραν για το περιστατικό, ότι συνέλαβαν ένα άτομο το οποίο έκανε ανάληψη Rs30.000.000 (~$195.000) και δύο μέρες αργότερα επιχείρησε να "σηκώσςει" άλλες $52.000 που προέρχονταν από την Ταϊβάν, σε 3 διαφορετικούς λογαριασμούς σε τράπεζα της Ceylon.


Τρίτη, 27 Ιουνίου 2017

Nέοι Ransomware και τα $1.000.000 λύτρα σε hosting provider

RANSOMWARE UPDATES 
16/6/2017 – 27/6/2017


To διάστημα που μας πέρασε μόνο τρελό μπορεί να χαρακτηριστεί. Ξεχωρίζει το νέο με την εταιρία hosting που πλήρωσε $1.000.000 λύτρα σε bitcoins μετά από επίθεση Ransomware που δέχτηκε. 

ΣΟΚ ΜΕ ΕΤΑΙΡΙΑ HOSTING ΠΟΥ ΠΛΗΡΩΣΕ $1.000.000 ΜΕΤΑ ΑΠΟ ΕΠΙΘΕΣΗ RANSOMWARE

Στις 10/6/17, η Nayana, μια εταιρία hosting από τη Νότια Κορέα δέχτηκε επίθεση Ransomware με αποτέλεσμα να κρυπτογραφηθούν όλοι οι server με τα website των πελατών της. Οι σέρβερ που μολύνθηκαν ήταν 153 στον αριθμό.
Ο Ransomware που επιτέθηκε στους server της εταιρίας, κρυπτογράφησε όλα τα δεδομένα και στη συνέχεια ζητούσε λύτρα, ήταν ο Erebus.



Οι τύποι των αρχείων που στοχεύει ο συγκεκριμένος Ransomware είναι:

targztgztazbztbzbz2, lzlzmalz4, contactdbxdocdocxjntjpgmapimailmsgoabodspdfppsppsmpptpptmprfpstrarrtftxtwabxlsxlsxxmlzip, 1cd, 3ds, 3g2, 3gp, 7z, 7zipaccdbaoiasfaspaspxasxavibakcercfgclassconfigcsscsvdbddsdwgdxfflfflvhtmlidxjskeykwmlaccdbldflitm3umbxmdmdfmidmlbmovmp3, mp4, mpgobjodtpagesphppsdpwmrmsafesavsavesqlsrtswfthmvobwavwmawmvxlsb, 3dmaacaiarwccdrclscpicppcsdb3, docmdotdotmdotxdrwdxbepsflaflacfxgjavamm4vmaxmdbpcdpctplpotmpotxppamppsmppsxpptmpspspimager3drw2, sldmsldxsvgtgawpsxlaxlamxlmxlrxlsmxltxltmxltxxlwactadpalbkpblendcdfcdxcgmcr2, crtdacdbfdcrddddesigndtdfdbffffpxhiifinddjpegmosndnsdnsfnsgnshodcodpoilpaspatpefpfxptxqbbqbmsas7bdatsayst4, st6, stcsxcsxwtlgwadxlkaiffbinbmpcmtdatditedbflvvgifgroupshddhpplogm2tsm4pmkvmpegndfnvramoggostpabpdbpifpngqedqcowqcow2, rvtst7, stmvboxvdivhdvhdxvmdkvmsdvmxvmxf, 3fr, 3prab4, accdeaccdraccdtachacradbadsagdlaitapjasmawgbackbackupbackupdbbankbaybdbbgtbikbpwcdr3, cdr4, cdr5, cdr6, cdrwce1, ce2, cibcrawcrwcshcsldb_journaldc2, dcsddocddrwderdesdgcdjvudngdrfdxgemlerbsqlerfexfffdfhfhdgraygreygryhbkibankibdibziiqincpasjpekc2, kdbxkdckpdxluamdcmefmfwmmwmnymoneywellmrwmydnddnefnk2, nopnrwns2, ns3, ns4, nwbnx2, nxlnyfodbodfodgodmorfotgothotpotsottp12, p7bp7cpddpemplus_muhdplcpotpptxpsafe3, pyqbaqbrqbwqbxqbyrafratrawrdbrwlrwzs3dbsd0, sdasdfsqlitesqlite3, sqlitedbsr2, srfsrwst5, st8, stdstistwstxsxdsxgsxisxmtexwalletwb2, wpdx11, x3fxisycbcrayuvmabjsoninisdbsqlite-shmsqlite-walmsfjarcdbsrbabdqtbcfninfoinfo_, flbdefatbtbntbbtlxpmlpmopnxpncpmipmmlckpm!, pmrusrpndpmjpmlocksrspbfomgwmfshwarascxtif



Τα ενδιαφέροντα σημεία της ιστορίας είναι τα εξής:
α) Η μοναδική έκδοση του Erebus που γνωρίζαμε πριν το συμβάν είχε κυκλοφορήσει το 2016, στη συνέχεια εξαφανίστηκε και μετά ξαναβγήκε στην επιφάνεια το Φεβρουάριο που μας πέρασε. Το θέμα είναι ότι η γνωστή αυτή έκδοση στόχευε μόνο λειτουργικά συστήματα Windows, ενώ αυτός ο οποίος χτύπησε τη Nayana επιτέθηκε σε Linux
β) H αρχική απαίτηση για πληρωμή λύτρων για την αποκρυπτογράφηση ήταν 550 bitcoins (!!!), δηλαδή περίπου $1.620.000 (με την ισοτιμία της τότε ημέρας). Μετά από διαπραγματεύσεις με τους κακοποιούς, κατέβασαν το ποσό των λύτρων σε 397.6 bitcoins (δηλαδή περίπου $1.000.000) με την προοπτική να το πληρώσουν σε 3 δόσεις. Η εταιρία ανακοίνωσε ότι στις 19/6 πλήρωσε τη δεύτερη δόση του ποσού.
γ) Μετά από ανάλυση του website της εταιρίας, διαπιστώνουμε ότι δεν αποτελεί έκπληξη ότι έπεσε θύμα της επιμόλυνσης.
Συγκεκριμένα,
Το website της NAYANA τρέχει Linux kernel 2.6.24.2 ο οποίος είχε γίνει compile το 2008 (…). Επιπροσθέτως, το website της NAYANA χρησιμοποιεί έκδοση Apache 1.3.36 και PHP έκδοση 5.1.4 οι οποίες είχαν κυκλοφορήσει το 2006. Τα τρωτά σημεία και οι ευαισθησίες και των δύο αυτών εκδόσεων είναι γνωστά σε όλους. Τέλος, η έκδοση Apache που χρησιμοποιεί η Nayana τρέχει με user=nobody (uid=99), κάτι που σημαίνει ότι μπορεί να έχει προηγηθεί local exploit στην επίθεση.

Προς το παρόν δεν είναι γνωστός ο τρόπος εισβολής στους εξυπηρετητές της εταιρίας, όμως με τόσες φτωχές πρακτικές ασφαλείας, είναι θέμα ωρών να ξαναχτυπηθούν, αν δεν κλείσουν οι τρύπες ασφαλείας….