Εμφάνιση αναρτήσεων με ετικέτα hermes. Εμφάνιση όλων των αναρτήσεων
Εμφάνιση αναρτήσεων με ετικέτα hermes. Εμφάνιση όλων των αναρτήσεων

Δευτέρα, 18 Μαρτίου 2019

Τα νέα των Ransomware, 18/3/19

Εκεί που είχε ηρεμήσει για λίγο, ο STOP επανεμφανίστηκε με 5 6 7 8 διαφορετικά στελέχη, μέσα σε μία εβδομάδα και μάλιστα χρησιμοποιώντας ακόμα πιο επιθετικές τακτικές.

Είχαμε επίσης λύση για τον BigBobRoss (δεν έχουμε δει, πάντως,θύματα στην Ελλάδα ακόμα) και πολλές νέες παραλλαγές από γνωστά στελέχη.
Κάθε φορά που κάποιος μας λέει ότι το Ransomware πέθανε ένα Blockchain κάπου στην Κορέα γελάει ηχηρά. 


Ας τα δούμε αναλυτικά:

O Hermes χτυπάει το Jackson County της Georgia, παίρνει $400.000!

Στις 6/3/2019, ο Hermes με ... ολίγη από Ryuk (επρόκειτο για στέλεχος που ήταν μείγμα των δύο) χτύπησε το Jackson County στην Georgia των ΗΠΑ, γονατίζοντας στην κυριολεξία όλες τις υπηρεσίες της πόλης.
Από σχετική ανακοίνωση, φαίνεται ότι οι υπεύθυνοι αποφάσισαν και πλήρωσαν τα λύτρα, τα οποία ανέρχονται σε $400.000. 





O STOP εγκαθιστά και Trojan με σκοπό την υποκλοπή προσωπικών στοιχείων

Πέρα από τα 10 νέα στελέχη STOP που είχαμε αυτήν την εβδομάδα (βλ. παρακάτω), διαπιστώσαμε ανησυχία ότι ο STOP πλέον εγκαθιστά και τον Azorult, ο οποίος είναι ένα Trojan το οποίο υποκλέπτει από το θύμα προσωπικά στοιχεία, όπως κωδικούς πρόσβασης, ιστορικό περιήγησης, συνομιλίες στο Skype, πορτοφόλια κρυπτονομισμάτων, αρχεία xls και άλλα πολλά.  


Μιας και είναι αδύνατον να γνωρίζουμε από πότε συμβαίνει αυτό, παρακαλούμε όλα τα θύματα του STOP (οποιαδήποτε έκδοση, οποιοδήποτε στέλεχος/οικογένεια) να πάρουν ΑΜΕΣΑ τα παρακάτω μέτρα:

  • Αλλαγή ΟΛΩΝ των κωδικών πρόσβασης για όλους τους online λογαριασμούς καθώς και τους κωδικούς του Η/Υ αν υπάρχουν. ΟΛΟΙ οι κωδικοί που αποθηκεύονται από το πρόγραμμα περιήγησης, θα πρέπει να θεωρούνται εκτεθειμένοι.
  • Αλλαγή όλων των κωδικών πρόσβασης για λογισμικά όπως το Skype, το Telegram το Steam κλπ.
  • Αλλαγή όλων των κωδικών πρόσβασης για τυχόν λογισμικά FTP (Filezilla κλπ).
  • Αρχεία με ευαίσθητα προσωπικά δεδομένα που βρίσκονται στην επιφάνεια εργασίας ή αλλού, θα πρέπει να θεωρούνται εκτεθειμένα. Αν υπήρχαν αρχεία που περιλαμβάνουν κωδικούς πρόσβασης, θα πρέπει να αλλαχτούν άμεσα.


Λύση για τον BigBobRoss

Αν και δεν είχαμε αναφορά θυμάτων στην Ελλάδα από τον συγκεκριμένο Ransomware, πλέον υπάρχει λύση. Η Emsisoft ανακοίνωσε την εξεύρεση λύσης και λίγο αργότερα ακολούθησε και η Avast. Το Ransom Note του εν λόγω Ransomware είναι αυτό:


Αν κάποιος έχει μολυνθεί, ας επικοινωνήσει με την Emsisoft ή μαζί μας.

Νέοι STOP

O STOP, που θεωρείται ίσως ο πιο δραστήριος Ransomware των τελευταίων μηνών, με πολλά θύματα και στην Ελλάδα, μας είχε συνηθίσει να εμφανίζει ένα τουλάχιστον νέο στέλεχος ανά εβδομάδα.
Τις προηγούμενες 20 μέρες υπήρχε μια ησυχία, αλλά μάλλον ήταν η ησυχία πριν την καταιγίδα. Την εβδομάδα που μας πέρασε, πλησίασε τα 10 νέα στελέχη.

Με τη σειρά:
Επέκταση .promorad2 με προέλευση / στοχεύει: Βραζιλία.
Επέκταση .kroput ομοίως με από πάνω.
Πρόκειται για την οικογένεια DJVU.


Επέκταση .kroput1, .pulsar1 και .charck, επίσης της οικογένειας DJVU.

Επέκταση .kropun και .klope της οικογένειας ZzZzZ.

Επέκταση .lastrop της οικογένειας Gilette.

Να και ένας Dharma

Toποθετεί την επέκταση .NWA.


Καπάκι και ένας ακόμα, το κακόβουλο έχει  την ομομασία payload.exe και τοποθετεί την επέκταση .azero.

Kαι τρικάπακο, και ένας τρίτος που τοποθετεί την επέκταση .com.

Ο Yatron προμοτάρεται ως RaaS

Ένας νέος RaaS (Ransomware-As-A-Service) προμοτάρεται μέχρι και μέσω Twitter (!) ότι χρησιμοποιεί το EternalBlue της NSA για να διασπείρει τον εαυτό του μέσω δικτύου. Ισχυρίζεται ότι διαγράφει επιτυχώς αρχεία μετά από x χρόνο αν δεν καταβληθούν τα  λύτρα.
Είναι ανησυχητικό, καθώς από ότι είδαμε, κάνει αυτά που υπόσχεται.




Δευτέρα, 26 Μαρτίου 2018

Τα νέα των Ransomware, 26/3/2018

Ο λόγος για τον οποίο δεν είχαμε νέα των Ransomware την προηγούμενη εβδομάδα, ήταν απλώς επειδή δεν υπήρχαν νέα (με εξαίρεση 1-2 καινούργια στελέχη).

Και αν αυτό αρχικά φαινόταν καλό νέο, και διαβάζουμε δεξιά κι αριστερά ότι το Ransomware πέθανε, ήρθε αυτή η εβδομάδα που μας πέρασε, να διαψεύσει τους πάντες:

Μεγάλοι οργανισμοί θύματα επίθεσης, η πόλη της Atlanta στην Georgia των ΗΠΑ να δέχεται ΤΕΡΑΣΤΙΑ επίθεση από τον SamSam, συλλήψεις στην Πολωνία, νέα στελέχη με καινούργιες μεθόδους επίθεσης και πάει λέγοντας... Δεν θα το λέγαμε ακριβώς αδράνεια...


Ας τα δούμε αναλυτικά:

Ο Νecurs και ο Gamut κρύβονται πίσω από το 97% (!!!) των spam emails που κυκλοφορούν στο διαδίκτυο!

Λαμβάνετε πολλά spam email? Σας εκνευρίζουν? Προφανώς ναι και ναι.
Πίσω από τη διακίνηση των email αυτών κρύβονται δύο (όλα κι όλα) botnets, ο Necurs και ο Gamut. 



Πηγή: McAfee

Mιας και μιλάμε για spam...

Μία μεγάλη καμπάνια διασποράς του Sigma Ransomware είναι σε εξέλιξη, με τη χρήση Malspam. Παριστάνει ότι αποστέλλεται από τη δημοφιλή αμερικάνικη πλατφόρμα αγγελιών Craigslist και περιέχει είτε αρχείο word κλειδωμένο με κωδικό (..?) είτε .rtf αρχείο, τα οποία κατεβάζουν και εκτελούν τον Sigma στον Η/Υ του θύματος.


Επίθεση του SamSam στην Atlanta






O δήμαρχος της Atlanta στην Georgia των ΗΠΑ επιβεβαίωσε ότι στις 22/3/2018 η πόλη δέχτηκε μεγάλη επίθεση από τον SamSam και ότι διάφορα συστήματα των υποδομών και της διαχείρισης της πόλης κατέρρευσαν. 

Το περιστατικό θεωρείται ιδιαίτερα σοβαρό και υπήρξε ανησυχία μέχρι και για τη λειτουργία του αεροδρομίου, ενώ υπήρξαν διακοπές ρεύματος,


διακοπές στη λειτουργία του MARTA (τα ΜΜΜ της πόλης)



Το περιστατικό έχει αναλάβει  το FBI ενώ οι πληροφορίες λένε ότι το ποσό που ζητήθηκε σαν λύτρα ήταν $51.000.

Περισσότερα εδώ.

To R2D2 η λύση για τους Ransomware?




Επιστήμονες από το πανεπιστήμιο του Purdue έχουν εξελίξει ένα σύστημα ασφάλειας δεδομένων που το ονομάζουν R2D2 (Reactive Redundancy for Data Destruction). Μπορεί να προστατεύσει σε ποσοστό 100% τα δεδομένα που βρίσκονται μέσα σε έναν εικονικό δίσκο διαγραφή και τροποποίηση.
Συνοπτικά, το σύστημα δημιουργεί checkpoints για τον έλεγχο αν η διαδικασία είναι κακόβουλη και αν δεν πάρει τα απαραίτητα εχέγγυα, δημιουργεί snapshot των δεδομένων, μην επιτρέποντας την τροποποίησή τους.





Συλλήψεις στην Πολωνία!




Καλά νέα με τη σύλληψη του δημιουργού των Polski Ransomware, Vortex Ransomware (τον είχαμε ήδη λύσει) και του Flotera Ransomware στην Πολωνία.
Ο συλληφθείς ονομάζεται

Κυριακή, 5 Νοεμβρίου 2017

Τα νέα των Ransomware, 6/11/2017

Αυτήν την εβδομάδα είχαμε κυρίως μικρά στελέχη. Είχαμε όμως και τον Gibon, έναν Ransomware που παρουσιάζει ενδιαφέρον και -κυρίως- έχουμε βρει λύση και μπορούμε να τον αποκρυπτογραφήσουμε :)

Ας τα δούμε αναλυτικά:



Trick Or Treat Screenlocker - Ανανεώθηκε

Είχαμε γράψει την προηγούμενη εβδομάδα για αυτόν. Εμφανίστηκε μια καινούργια έκδοση με ανανεωμένο Background. Εξακολουθεί πάντως να μη κρυπτογραφεί.


O Oni επιτίθεται σε Ιαπωνικές εταιρίες

Επί έναν ολόκληρο μήνα, ο Oni Ransomware στόχευε εταιρίες στην Ιαπωνία. 


Σάββατο, 21 Οκτωβρίου 2017

Τα νέα των Ransomware, 21/10/2017


Και αυτήν την εβδομάδα είχαμε αρκετά μικρά στελέχη να εμφανίζονται ή να επανεμφανίζονται, τα μεγάλα νέα όμως ήταν η εμφάνιση του Magniber και η χρήση του Hermes Ransomware σαν βιτρίνα για τη ληστεία σε μία τράπεζα στην Ταϊβάν. 

Ας τα δούμε αναλυτικά:

ΒορειοΚορεάτες πίσω από τη ληστεία τράπεζας στην Ταϊβάν

Μην φανταστείτε ότι μπήκαν με όπλα και ζήτησαν από τους υπαλλήλους να αδειάσουν τα ταμεία.
Η ιστορία έχει ως εξής, και είναι ιδιαίτερα ενδιαφέρουσα:

Πίσω από τη ληστεία, σύμφωνα με όλες τις ενδείξεις, κρύβεται η σπείρα Lazarous Group, μία ομάδα hackers από τη Βόρεια Κορέα.

Στις αρχές του μήνα, υπεύθυνοι της τράπεζες FEIB (Far Eastern International Bank) στην Ταϊβάν, ανακάλυψαν ότι έχει γίνει παραβίαση στα συστήματα της τράπεζας. Η παραβίαση είχε ως στόχο τη μεταφορά 60 εκατομμυρίων δολλαρίων (!) σε τράπεζες της Σρι Λάνκα, της Καμπότζης και των ΗΠΑ.


Οι επιτιθέμενοι έστειλαν email με παγιδευμένα αρχεία Word και Excel σε εργαζόμενους της τράπεζας. Τα αρχεία αυτά, με το άνοιγμά τους, εγκαθιστούσαν το ζητούμενο Malware. Στη συνέχεια, χρησιμοποιώντας SMB μπήκαν πρακτικά στο δίκτυο της τράπεζας.

Αφού χαρτογράφησαν το δίκτυο της τράπεζας και στόχευσαν Η/Υ που κατείχαν ευαίσθητο υλικό, τους έστειλαν άλλο malware το οποίο είχαν φτιάξει οι ίδιοι. Αυτή η επίθεση συνέβη την 1/10/17.


Στις 3/10, οι Lazarus χρησιμοποίησαν το συνθηματικό πρόσβασης ενός υπαλλήλου της τράπεζας και απέκτησαν πρόσβαση στον λογαριασμό SWIFT. Έτσι, έστειλαν χρήματα σε διαφορετικές τράπεζες της Σρι Λάνκα, της Καμπότζης και των ΗΠΑ.
Εκεί έγινε και το λάθος των Lazarus, που οδήγησε στην αποκάλυψη της παραβίασης από την τράπεζα: Χρησιμοποίησαν τους κωδικούς συναλλαγής MT103 και MT202COV, όμως τους τελευταίους τους τοποθέτησαν λανθασμένα.


Μόλις η FEIB ανακάλυψε την παραβίαση, οι Lazarus εξαπέλησαν στο δίκτυο της τράπεζας τον Hermes Ransomware με σκοπό να κρυπτογραφήσουν και να καταστρέψουν τα αποδεικτικά στοιχεία της εισβολής τους.

Να πούμε ότι ο Hermes είναι ένας Ransomware που κυκλοφόρησε το Φεβρουάριο και λίγο αργότερα βρέθηκε λύση και μπόρεσε να αποκρυπτογραφηθεί. Όμως, οι δημιουργοί του έφτιαξαν λίγο αργότερα την έκδοση 2.0, για την οποία δεν υπάρχει λύση παγκοσμίως.


Οι Lazarus πάντως δεν εξαπέλησαν την έκδοση 2.0, αλλά μία τροποποιημένη έκδοσή της. Αντί να αφήνει αυτό, που είναι το κλασικό Ransom Note του Hermes,


άφηνε ένα popup που απλά έλεγε Finish Work και ένα αρχείο "Unique_id_do_not_remove" σε κάθε φάκελο του Η/Υ.

Οι αρχές της Σρι Λάνκα ανέφεραν για το περιστατικό, ότι συνέλαβαν ένα άτομο το οποίο έκανε ανάληψη Rs30.000.000 (~$195.000) και δύο μέρες αργότερα επιχείρησε να "σηκώσςει" άλλες $52.000 που προέρχονταν από την Ταϊβάν, σε 3 διαφορετικούς λογαριασμούς σε τράπεζα της Ceylon.


Δευτέρα, 20 Μαρτίου 2017

Έχουμε βρει λύση για τους Ransomware Damage, Hermes, CTB-Locker, ScreenLOCKER

RANSOMWARE UPDATES 12/03/17-19/03/17

ΒΡΗΚΑΜΕ ΛΥΣΗ ΓΙΑ ΤΟΝ DAMAGE!!
Αυτός ο Ransomware τοποθετούσε την επέκταση .damage στα κρυπτογραφημένα αρχεία και άφηνε Ransom Note με την ονομασία damage@india.com[PC-NAME].txt
   Επικοινωνήστε μαζί μας για να σας βοηθήσουμε με την λύση του Ransomware σας.
Λύση για τον Ransomware Damage


ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!!

Δευτέρα, 20 Φεβρουαρίου 2017

Ransomware για τους οποίους έχουμε λύση, Φεβρουάριος 2017

RANSOMWARE UPDATES 12/02/2017 – 19/02/2017

Αυτή η εβδομάδα ήταν εξαιρετικά ήσυχη σε σχέση με τους Ransomware, και αυτό είναι καλό νέο φυσικά. Είχαμε την εμφάνιση κάποιων παραλλαγών από ήδη γνωστές οικογένειες. Ας τις δούμε.
Επανεμφάνιση RAR Ransomware...
Ήταν από τις πρώτες μεθόδους που χρησιμοποιήθηκαν με τη μορφή των Ransomware. Ο επιτιθέμενος τοποθετεί όλα τα αρχεία του θύματος σε ένα αρχείο τύπου .rar το οποίο προστατεύει με κωδικό.
Μην πληρώσετε bitcoin για αποκρυπτογράφηση υπάρχει λύση
Rar Ransomware - Βρήκαμε λύση για την κρυπτογράφηση


Η Northwind έχει αναπτύξει μεθόδους για την παραβίαση των κωδικών σε αρχεία RAR.

ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ και ελάτε σε επικοινωνία μαζί μας.