Несмотря на недолгое время, ProLock уже завоевал популярность, ориентируясь на финансовые, медицинские, государственные и розничные организации. Первая крупная атака группы, о которой мы знаем, по крайней мере, произошла в конце апреля, когда они успешно атаковали Diebold Nixdorf - одного из основных поставщиков банкоматов.
Начальный доступ
Операторы ProLock использовали два основных вектора начального доступа: QakBot (Qbot) и незащищенные протоколы удаленного рабочего стола (RDP) со слабыми учетными данными.
Как правило, QakBot распространяется через фишинговые кампании. Фишинговые электронные письма могут содержать вложения документов Microsoft Office, находящихся под оружием, или просто ссылки на такие документы, которые находятся в облачном хранилище - например, Microsoft OneDrive.
выполнение
После того, как жертва загрузит и откроет зараженный документ, и вредоносные макросы будут включены, PowerShell запускается и используется для загрузки и запуска полезной нагрузки QakBot с сервера C2.
В случае доступа RDP действительные учетные записи используются для обеспечения устойчивости в сети
Уклонение от защиты:
У QBot есть хитрый трюк, позволяющий избежать обнаружения: он проверяет наличие самой новой версии и заменяет текущую версию новой. Исполняемые файлы подписываются украденной или поддельной подписью. Начальная полезная нагрузка, загруженная PowerShell, сохраняется на сервере с расширением PNG. Более того, после выполнения он заменяется легитимным файлом calc.exe.
Чтобы избежать обнаружения, QakBot также использует explorer.exe для выполнения метода внедрения процесса.
Как уже упоминалось, полезная нагрузка ProLock скрыта внутри файла BMP или JPG и может также рассматриваться как метод уклонения от защиты.
Доступ к учетным данным
QakBot обладает возможностями кейлогера, но также может загружать и запускать дополнительные сценарии, такие как Invoke-Mimikatz, версия пресловутого Mimikatz для PowerShell. Это позволяет противнику использовать метод сброса учетных данных.
открытие
После получения привилегированных учетных данных операторы ProLock начинают операции по обнаружению сети. Они включают, но не ограничиваются ими, сканирование портов и разведку Active Directory.
В дополнение к широкому спектру сценариев злоумышленники используют AdFind - еще один популярный инструмент, используемый многими группами вымогателей - для запросов к Active Directory.
Боковое движение
Многие противники предпочитают RDP для бокового перемещения по сетям, и ProLock не является исключением. Злоумышленники имеют в своем арсенале пакетные сценарии для обеспечения доступа RDP на целевых хостах
Для удаленного выполнения сценариев операторы ProLock используют PsExec из Sysinternals Suite, еще одного распространенного инструмента.
Для запуска ProLock на хостах злоумышленники использовали WMIC - интерфейс командной строки для инструментария управления Windows - который также становится все более популярным среди операторов вымогателей.
Коллекция
Как и многие другие группы, операторы ProLock собирают данные из скомпрометированных сетей, чтобы повысить свои шансы на удовлетворение своих требований о выкупе. До эксфильтрации собранные данные архивируются с помощью 7Zip.
эксфильтрации
Для эксфильтрации операторы ProLock используют Rclone, инструмент командной строки, способный синхронизировать файлы с различными поставщиками облачного хранилища, такими как OneDrive, Google Drive, Mega и т. д.
Влияние
После фильтрации данных группа развертывает ProLock в масштабах всего предприятия. PowerShell используется для извлечения двоичного файла из файла PNG или JPG и вставки его в память
ProLock убивает процессы из встроенного списка (что интересно, он использует только шесть букв из имени процесса, например «winwor») и останавливает службы, в том числе связанные с безопасностью, такие как CSFalconService (CrowdStrike Falcon), с помощью команды net stop.
Затем, как и многие другие семейства вымогателей, он использует vssadmin для удаления теневых копий томов и ограничения их размера, поэтому новые копии не создаются
ProLock добавляет расширение .proLock, .pr0Lock или .proL0ck к каждому зашифрованному файлу и помещает [HOW TO RECOVER FILES]].TXT в каждую папку - файл с инструкциями о том, как расшифровать файлы, включая ссылку на сайт, где находится жертва необходимо ввести уникальный идентификатор и получить информацию об оплате
Каждый образец ProLock имеет встроенную сумму выкупа - в данном случае это было 35 биткойнов, или примерно 312 000 долларов.
Список вымогателей, которые открывают в публичный доступ украденные файлы, если им не заплатили
AKO Ransomware начал работать в январе 2020 года, когда они начали ориентироваться на корпоративные сети с открытыми службами удаленных рабочих столов.
CL0P начинался как вариант CryptoMix и вскоре стал выбором вымогателей для группы APT, известной как TA505.
DoppelPaymer Ransomware
В июле 2019 года появилось новое вымогательское ПО, которое выглядело и действовало так же, как другое вымогательское ПО под названием BitPaymer.
Maze Ransomware впервые применил новую тактику кражи файлов и использовании их в качестве рычага, чтобы заставить жертву заплатить.
Nemty Ransomware
Первоначально запущенный в январе 2019 года как Ransomware-as-a-Service (RaaS) под названием JSWorm, вымогатель переименовал его в Nemty в августе 2019 года.
Nephilim Ransomware
30 марта оператор Nemty Ransomware начал создавать новую группу филиалов для частного Ransomware-as-a-Service под названием Nephilim.
Netwalker Ransomware
Начиная с вымогателей Mailto в октябре 2019 года, вымогатели переименовали в Netwalker в феврале 2020 года.
Pysa впервые появилась в октябре 2019 года, когда компании начали сообщать о том, что новое программное обеспечение вымогателей зашифровало их серверы.
Впервые увиденный в феврале 2020 года, Ragnar Locker был первым, кто в значительной степени нацелился и завершил процессы, используемые провайдерами управляемых услуг (MSP).
Sodinokibi вступил в строй в апреле 2019 года и считается преемником GandCrab, который прекратил свою деятельность по вымогательству в 2019 году.
Sekhmet появился в марте 2020 года, когда он начал ориентироваться на корпоративные сети.
Работая с конца 2018 года, Snatch был одним из первых вымогателей, которые украли данные и угрожали их опубликовать.
CryLock Ransomware
Работая с 2014/2015, вымогателей, известных как Cryakl, в этом году переименовали в CryLock.
В рамках ребрендинга они также начали кражу данных у компаний перед тем, как зашифровать их файлы и публикуют их, если не заплатили.
ProLock Ransomware начал свою деятельность как PwndLcker в 2019 году, когда они начали ориентироваться на корпоративные сети с требованиями выкупа в диапазоне от 175 000 до более 660 000 долларов.
Snake Ransomware начал работать в начале января 2020 года, когда они начали атаковать предприятия в рамках сетевых атак.
Новое вымогательское ПО CryCryptor предназначалось для пользователей Android в Канаде и распространяется через два веб-сайта под видом официального приложения для отслеживания COVID-19, предоставленного Health Canada. Исследователи ESET проанализировали вымогателей и создали инструмент дешифрования для жертв.
CryCryptor появился всего через несколько дней после того, как канадское правительство официально объявило о своем намерении поддержать разработку общенационального приложения для добровольного отслеживания под названием COVID Alert. Официальное приложение должно быть запущено для тестирования в провинции Онтарио уже в следующем месяце.
ESET проинформировал Канадский центр кибербезопасности об этой угрозе, как только она была выявлена.
Maze Ransomware прекращает киберпреступную деятельность
группировка Maze прекращает свою деятельность после того, как стала одним из самых известных игроков, осуществляющих атаки с использованием программ-вымогателей.
Maze Ransomware начал работать в мае 2019 года, но активизировалась в ноябре.
Именно тогда операция, ориентированная на средства массовой информации, произвела новый подход в атаках программ-вымогателей, применив тактику двойного вымогательства.
Сначала они крадут ваши файлы, а затем шифруют их
Хотя программы-вымогатели всегда дразнили новостные сайты и исследователей, по большей части они, как правило, игнорировали электронные письма журналистов.
Это изменилось в ноябре 2019 года, когда Maze связался с BleepingComputer, чтобы сообщить нам, что они украли незашифрованные данные для Allied Universal перед их шифрованием.
Maze заявил, что, если Allied не заплатит выкуп, их данные будут обнародованы. В конечном итоге выкуп не был уплачен, и Maze опубликовал украденные данные.
Вскоре после этого Maze запустили сайт «Maze News», который они используют для публикации данных о неоплачиваемых жертвах и выпуска «пресс-релизов» для журналистов, которые следят за их деятельностью.
Этот метод двойного вымогательства был быстро принят другими крупными операциями с программами-вымогателями, включая REvil, Clop, DoppelPaymer, которые выпустили свои собственные сайты утечки данных. Этот метод двойного вымогательства теперь стал стандартной тактикой, используемой почти во всех операциях с программами-вымогателями.
Maze продолжал развивать операции с программами-вымогателями, создав картель вымогателей с Ragnar Locker и LockBit для обмена информацией и тактиками.
В течение полутора лет киберпреступности Maze несет ответственность за атаки на известных жертв, включая Southwire, City of Pensacola, Canon, LG Electronics, Xerox и многих других.
Maze начал отключаться шесть недель назад
В начале прошлого месяца начали приходить сведения о том, что Maze готовится завершить работу программы-вымогателя точно так же, как это сделал GandCrab в 2019 году.
Когда BleepingComputer связался с Maze, чтобы подтвердить, выключаются ли они, нам сказали: «Вам следует дождаться пресс-релиза».
На этой неделе Maze начал удалять жертв, которые они указали на своем сайте утечки данных. Все, что осталось на сайте, - это две жертвы и те, кто ранее и опубликовал все свои данные.
Очистка места утечки данных указывает на неизбежное завершение работы программы-вымогателя.
Операторы программ-вымогателей нередко выпускают главные ключи дешифрования при завершении работы, как это было сделано с Crysis, TeslaCrypt и Shade.
BleepingComputer обратился к Maze, чтобы спросить, предоставят ли они свои ключи, когда завершат работу, но не получили ответа.
Программа-вымогатель Maze прекращает работу и отрицает создание картеля
Печально известная группа Maze объявила сегодня, что они официально закрыли свои операции с программами-вымогателями и больше не будут сливать данные новых компаний на своем сайте.
Сегодня Maze выпустил пресс-релиз под названием «Проект закрыт», в котором говорится, что они закрыты, а любая другая операция вымогателя, использующая его название, является мошенничеством.
"Проект Maze Team объявляет о своем официальном закрытии.
Все ссылки на наш проект, использование нашего бренда, наши методы работы следует рассматривать как мошенничество.
У нас никогда не было партнеров или официальных преемников. Наши специалисты не работают ни с каким другим программным обеспечением. Никто и никогда не сможет принимать новых партнеров на нашем новостном сайте. Картеля Maze Ransimware не было и не существует. Это можно найти только в головах журналистов, которые об этом писали».
Вредоносная программа Gootkit вновь активна вместе с программой-вымогателем REvil
После годичного отпуска троян Gootkit, ворующий информацию, вернулся к жизни вместе с REvil Ransomware в новой кампании, нацеленной на Германию.
Троянец Gootkit - это вредоносное ПО на основе Javascript, которое выполняет различные вредоносные действия, включая удаленный доступ для злоумышленников, захват нажатия клавиш, запись видео, кражу электронной почты, кражу паролей и возможность внедрять вредоносные сценарии для кражи учетных данных онлайн-банкинга.
В прошлом году злоумышленники Gootkit пострадали от утечки данных после того, как оставили базу данных MongoDB открытой в Интернете. После этого нарушения считалось, что актеры Gootkit прекратили свою деятельность, пока они внезапно не ожили в начале этого месяца.
На прошлой неделе исследователь безопасности, известный как The Analyst, сообщил BleepingComputer, что вредоносное ПО Gootkit снова появилось в ходе атак, направленных на Германию.
В этой новой вредоносной кампании злоумышленники взламывают сайты WordPress и используют SEO-отравление, чтобы показывать посетителям фальшивые сообщения на форуме. Эти сообщения выдают себя за вопросы и ответы со ссылкой на поддельные формы или загрузки.
Когда пользователь нажимает на ссылку, он загружает ZIP-файл, содержащий обфусцированный JS-файл, который устанавливает либо вредоносную программу Gootkit, либо программу-вымогатель REvil.
Этот же метод распространения ранее использовался REvil в сентябре 2019 года, примерно в то же время, когда исчез Gootkit.
Gootkit и REvil установлены в бесфайловых атаках
В новом отчете, опубликованном сегодня, исследователи Malwarebytes объясняют, что вредоносные полезные нагрузки JavaScript будут выполнять безфайловые атаки Gootkit или REvil.
При запуске сценарий JavaScript подключается к своему серверу управления и контроля и загружает другой сценарий, содержащий вредоносные вредоносные программы.
Согласно анализу Malwarebytes, этой полезной нагрузкой обычно является Gootkit, но в некоторых случаях это также была программа-вымогатель REvil.
"После преобразования в ASCII открывается следующий код JavaScript, и код выполняется. Этот код JavaScript поставляется со встроенной полезной нагрузкой PE, которая может быть либо загрузчиком для Gootkit, либо для программы-вымогателя REvil. Существуют также некоторые различия в используемом алгоритме чтобы деобфускировать его », - говорится в сообщении Malwarebytes.
В конечном итоге загрузчик прочитает полезные данные реестра или текстового файла, расшифрует их и безфайлово запустит процесс прямо в память.
Использование обфусцированных полезных данных и их разбиение на части, хранящиеся в реестре, затрудняет обнаружение вредоносных полезных данных программным обеспечением безопасности.
"Злоумышленники, стоящие за этой кампанией, используют очень умный загрузчик, который выполняет ряд шагов, чтобы избежать обнаружения. Учитывая, что полезная нагрузка хранится в реестре под ключом с произвольным названием, многие продукты безопасности не смогут обнаруживать и удалять это ", - поясняет Malwarebytes.
ФБР предупреждает о вымогательстве Egregor, которое вымогает у компаний по всему миру
Федеральное бюро расследований США (ФБР) разослало компании частного сектора с предупреждением о том, что деятельность программы-вымогателя Egregor активно атакует и вымогает у компаний по всему миру.
ФБР сообщает в сообщении TLP: WHITE Private Industry Notification (PIN), опубликованном в среду, что Egregor утверждает, что уже нанес удар и скомпрометировал более 150 жертв с тех пор, как агентство впервые обнаружило эту вредоносную деятельность в сентябре 2020 года.
«Из-за большого количества участников, задействованных в развертывании Egregor, тактика, методы и процедуры, используемые при его развертывании, могут сильно различаться, создавая серьезные проблемы для защиты и смягчения последствий», - заявляет служба разведки и безопасности США.
«Программа-вымогатель Egregor использует несколько механизмов для взлома бизнес-сетей, включая нацеливание на бизнес-сеть и личные учетные записи сотрудников, которые имеют общий доступ к бизнес-сетям или устройствам».
Фишинговые электронные письма с вредоносными вложениями и небезопасным протоколом удаленного рабочего стола (RDP) или виртуальными частными сетями являются одними из векторов атак, используемых участниками Egregor для получения доступа и горизонтального перемещения внутри сетей своих жертв.
Egregor использует Cobalt Strike, Qakbot / Qbot, Advanced IP Scanner и AdFind для повышения привилегий и бокового перемещения сети.
Филиалы также используют 7zip и Rclone, иногда замаскированные под процесс Service Host Process (svchost), для кражи данных перед развертыванием полезной нагрузки вымогателя в сети жертв.
ФБР также поделилось списком рекомендуемых мер по смягчению последствий, которые должны помочь защитить от атак Эгрегора:
Резервное копирование критически важных данных в автономном режиме.
- Убедитесь, что копии критически важных данных находятся в облаке, на внешнем жестком диске или устройстве хранения.
- Защитите свои резервные копии и убедитесь, что данные недоступны для изменения или удаления из системы, в которой они хранятся.
- Установите и регулярно обновляйте антивирусное или антивирусное программное обеспечение на всех хостах.
- Используйте только безопасные сети и избегайте общедоступных сетей Wi-Fi.
- Используйте двухфакторную аутентификацию и не нажимайте на незапрошенные вложения или ссылки в электронных письмах.
- Сделайте ставку на исправление общедоступных продуктов и приложений удаленного доступа, включая недавние уязвимости RDP (CVE-2020-0609, CVE-2020-0610, CVE-2020-16896, CVE-2019-1489, CVE-2019-1225, CVE-2019. -1224, CVE-2019-1108).
- Просмотрите подозрительные файлы .bat и .dll, файлы с данными разведки (например, файлы .log) и инструменты для эксфильтрации.
- Безопасно настройте RDP, ограничив доступ, используя многофакторную аутентификацию или надежные пароли.
Работа RaaS с бывшими филиалами Maze в качестве партнеров
Egregor - это программа-вымогатель как услуга, которая сотрудничает с аффилированными лицами, которые взламывают сети для развертывания полезных нагрузок вымогателей, распределяя доходы от выкупа с операторами Egregor с использованием разделения 70/30.
После проникновения в сети жертв они также крадут файлы перед шифрованием устройств и используют их в качестве рычага воздействия под угрозой публичной утечки украденных данных, если выкуп не будет уплачен.
Egregor начал работать после того, как Maze закрыл свою работу, и многие из филиалов Maze сразу же переключились на RaaS Egregor, как сообщили BleepingComputer злоумышленники.
С сентября аффилированные лица Egregor взламывают и зашифровывают системы нескольких известных организаций, включая, помимо прочего, Ubisoft, Kmart, Randstad, Barnes and Noble, Cencosud, Crytek и транспортное агентство TransLink Metro Vancouver.
В 2020 году наблюдались три волны спама, исходящие от TA505: они начались в январе / феврале, затем последовали более длительный период летом с июня по сентябрь и очень короткий период в начале декабря. За месяцы отсутствия спама они добавляли все больше и больше жертв на свой портал вымогателей «CL0P ^ -LEAKS».
Первый период активности
Первый период рассылки спама начался 02.06.2020 и закончился 11.09.2020. В течение этого периода TA505 рассылал фишинговые письма почти каждый рабочий день, чтобы закрепиться во многих сетях. Впоследствии они будут отфильтровывать интересные корпоративные сети, а затем продвигать свое вторжение, двигаясь в боковом направлении.
Дата окончания наблюдаемой спамерской активности особенно интересна в связи с объявлением Secura. 11 сентября 2020 года, что было пятницей и, следовательно, последним днем обычной недели спама TA505, Secura объявила об уязвимости Zerologon. Это только предположение, почему TA505 не продолжил рассылку спама в следующий понедельник: либо публикация Zerologon резко прекратила их рассылку, либо они воспользовались возможностью быстро продвинуться в отдельных сетях.
В сентябре и октябре 2020 года CL0P удалось развернуть программу-вымогатель на нескольких жертвах. Наблюдаемые случаи в основном имели место в пятницу и субботу.
Второй период активности
В середине декабря 2020 года TA505 вернулся менее чем за две недели спама, что могло поставить под угрозу возможные сети жертв для развертывания CL0P во время рождественских праздников 2020 года. Еще одним мотивом может быть получение доступа к новым сетям жертв, чтобы возобновить работу в январе / Февраль 2021 г.
Программа-вымогатель CL0P
CL0P - это программа-вымогатель, которая развертывается после первоначального вторжения TA505. Каждый образец CL0P уникален для жертвы. Во-первых, он содержит 1024-битный открытый ключ RSA, используемый для шифрования данных. Во-вторых, он содержит персональную записку о выкупе.
Программа-вымогатель написана на C ++ и разработана в Visual Studio 2015 (14.0). Размер неупакованного образца составляет от 100 до 200 КБ. CL0P переименовывает зашифрованные файлы и добавляет окончание файла либо «.Cllp», либо «.CI0p».
Программа-вымогатель содержит 1024-битный открытый ключ RSA, уникальный для каждой жертвы. Хотя 1024-битные ключи RSA устарели, до факторизации 1024-битных ключей еще далеко. По состоянию на январь 2021 года самый крупный публично известный ключ RSA, который был разложен в рамках RSA Factoring Challenge, имел 829 бит.
CL0P - одна из кибергрупп вымогателей, которая применила метод двойного вымогательства. Прежде чем развернуть программу-вымогатель, они извлекают до терабайта конфиденциальных данных из сети жертвы. В случае, если жертва правильно настроила резервное копирование и не желает платить выкуп, она все равно может пригрозить опубликовать эти данные на своем портале утечек «CL0P ^ -LEAKS». Портал перечисляет 19 жертв в январе 2021 года. Большинство из них проживают в Германии. Портал утечек размещен в сети TOR
Заключение
CL0P была одной из самых активных операций по атакам шифровальщиков в 2020 году. Им удалось взломать несколько крупных предприятий. Их вторжения связаны с TA505. Очевидно, что эти вторжения продолжатся с той же скоростью и частотой в 2021 году.
Образцы CL0P содержат персонализированные записки о выкупе, в которых упоминается жертва и раскрываются важные детали переговорного процесса. Операторы CL0P предлагают собственный портал для переговоров, в том числе службу поддержки через чат.
В случаях, когда жертвы не платят выкуп, они загружают большие объемы конфиденциальных данных на свой портал «CL0P ^ -LEAKS». На момент написания они продолжают хранить эти данные там, в некоторых случаях более девяти месяцев.
операторы CL0P имеют доступ к исходному коду CL0P. Они способны компилировать и быстро исправлять в нем проблемы во время текущего развертывания. Это подчеркивает предположение о том, что эта кибергруппа представляет собой закрытую группу людей, которые совместно используют общие ресурсы и работают в тесном сотрудничестве.
Команда McAfee Advanced Threat Research Team наблюдала, как в мае 2019 года появилось новое семейство программ-вымогателей под названием «Buran». Buran работает как модель RaaS, как и другие семейства программ-вымогателей, такие как REVil, GandCrab (ныне несуществующие), Phobos и т. Д.
Реклама программ-вымогателей Buran
Об этой программе-вымогателе было объявлено на известном форуме следующим сообщением:
Buran - стабильный оффлайн криптоклокер с гибкой функциональностью и круглосуточной поддержкой.
Исследователи опрделили, что Buran был доставлен через Rig Exploit Kit. Важно отметить, что Rig Exploit Kit является предпочтительным EK, используемым для доставки последних кампаний вымогателей.
Rig Exploit Kit использовал CVE-2018-8174 (Microsoft Internet Explorer VBScript Engine, выполнение произвольного кода) для использования на стороне клиента. После успешной эксплуатации эта уязвимость доставит в систему вымогатель Buran.
VegaLocker, Jumper и теперь Buran Ransomware
Buran - это эволюция программы-вымогателя Jumper. VegaLocker является источником этого семейства вредоносных программ.
Авторы вредоносных программ развивают свой вредоносный код, чтобы улучшить его и сделать более профессиональным. Попытка скрытно сбить с толку исследователей безопасности и AV-компании может быть одной из причин смены названия между версиями.
Поскольку компании обычно используют смешанную среду серверов Windows и Linux, операторы вымогателей все чаще начинают создавать версии своих вредоносных программ для Linux, чтобы обеспечить шифрование всех критических данных.
В сегодняшнем новом отчете «Лаборатории Касперского» рассматривается версия вымогателя RansomExx для Linux, также известного как Defray777.
На этой неделе RansomExx привлекает большое внимание из-за продолжающихся атак на правительственные сети Бразилии и предыдущих атак на Министерство транспорта Техаса (TxDOT), Konica Minolta, IPG Photonics и Tyler Technologies.
Версия RansomExx для Linux
По словам Касперского, при нацеливании на серверы Linux операторы RansomExx развернут исполняемый файл ELF с именем svc-new, используемый для шифрования сервера жертвы.
«После первоначального анализа мы заметили сходство в коде троянца, тексте заметок о выкупе и общем подходе к вымогательству, из которого можно предположить, что на самом деле мы столкнулись с Linux-сборкой ранее известного семейства вымогателей RansomEXX», - говорят исследователи «Лаборатории Касперского». говорится в их отчете.
В исполняемый файл Linux встроены публичный ключ шифрования RSA-4096, записка о выкупе и расширение, названное в честь клиента, которое будет добавлено ко всем зашифрованным файлам.
В отличие от версии для Windows, Kaspersky заявляет, что версия для Linux - это программа-вымогатель без излишеств. Он не содержит кода для завершения процессов, включая программное обеспечение безопасности, не стирает свободное пространство, как это делает версия для Windows, и не взаимодействует с сервером управления и контроля.
Если жертва заплатит выкуп, она получит дешифратор как для Linux, так и для Windows с соответствующим закрытым ключом RSA-4096 и зашифрованным расширением файла, встроенным в исполняемый файл.
Версия для Linux называется decryptor64 и представляет собой дешифратор, управляемый из командной строки
Фабиан Восар, технический директор компании Emsisoft, занимающейся кибербезопасностью, сказал BleepingComputer, что впервые увидел, что RansomExx использует версию Linux для атак в июле 2020 года, но, возможно, использовался и раньше.
RansomExx - не первая программа-вымогатель, создавшая версии для Linux. В прошлом Pysa (Menispoza), Snatch и PureLocker также распространяли варианты Linux.
Украинская и французская полиция задержали участников программы-вымогателя Egregor
Сообщается, что совместная операция правоохранительных органов Франции и Украины привела к аресту нескольких участников операции по вымогательству Egregor в Украине.
Как сначала сообщил France Inter, во вторник правоохранительные органы произвели аресты после того, как французские власти смогли отследить выплаты выкупа лицам, находящимся в Украине.
Считается, что арестованные являются филиалами Egregor, чьей задачей было взломать корпоративные сети и развернуть программы-вымогатели. France Inter также сообщает, что некоторые люди оказали материально-техническую и финансовую поддержку.
Взлет и падение Эгрегора
Egregor работает как программа-вымогатель как услуга (RaaS), где аффилированные лица вступают в партнерские отношения с разработчиками программ-вымогателей для проведения атак и разделения выкупа.
В таких партнерствах разработчики программ-вымогателей несут ответственность за разработку вредоносного ПО и запуск платежного сайта. В то же время филиалы несут ответственность за взлом сетей жертв и развертывание программ-вымогателей.
Egregor запустился в середине сентября, когда одна из крупнейших групп, известная как Maze, начала сворачивать свою деятельность.
В то время злоумышленники сообщили BleepingComputer, что филиалы Maze перешли на Egregor RaaS, что позволило запустить новую операцию вымогателей с помощью опытных и квалифицированных хакеров.
В ноябре кибергруппа объединилась с вредоносным ПО Qbot, чтобы получить доступ к сетям жертв, что еще больше увеличило объем атак.
Кибергруппы Ransomware планируют сообщать об атаках бизнес-партнерам жертвы
Операция вымогателей REvil объявила на этой неделе, что они используют DDoS-атаки и голосовые звонки журналистам и бизнес-партнерам жертвы для получения выкупа.
Операция вымогателя REvil, также известная как Sodinokibi, представляет собой программу-вымогатель как услугу (RaaS), в которой операторы вымогателей разрабатывают вредоносные программы и сайт платежей, а филиалы (рекламные объявления) компрометируют корпоративные сети для развертывания вымогателя.
В рамках этой сделки разработчики REvil зарабатывают от 20 до 30% выкупа, а аффилированные лица вносят оставшиеся 70-80%.
Чтобы вынудить жертв заплатить выкуп, группы вымогателей все чаще прибегают к тактике двойного вымогательства, когда злоумышленники крадут незашифрованные файлы, которые они угрожают выпустить, если выкуп не будет уплачен.
Теперь с использованием VOIP-звонков и DDoS-атак
В феврале группа REvil опубликовала объявление о вакансии, в котором они хотели набрать людей для выполнения DDoS-атак и использования вызовов VOIP для связи с жертвами и их партнерами.
Сегодня исследователь безопасности, известный как 3xp0rt, обнаружил, что REvil объявила о внедрении новой тактики, которую филиалы могут использовать для оказания еще большего давления на жертв.
Эта новая тактика включает в себя бесплатную услугу, при которой злоумышленники или аффилированные партнеры будут выполнять голосовые вызовы VOIP в СМИ и бизнес-партнерам жертвы с информацией об атаке.
Группа программ-вымогателей, вероятно, исходит из того, что предупреждение предприятий о том, что их данные могли быть раскрыты в результате атаки на их партнеров, создаст дополнительное давление на жертву, заставляющую платить.
REvil также предоставляет платную услугу, которая позволяет аффилированным лицам выполнять DDoS-атаки уровня 3 и уровня 7 против компании для максимального давления.
Атака уровня 3 обычно используется для отключения интернет-соединения компании. Напротив, злоумышленники будут использовать атаку уровня 7 для отключения общедоступного приложения, такого как веб-сервер.
В октябре мы сообщили, что вымогатели SunCrypt и Ragnar Locker начали использовать DDoS-атаки против жертв, чтобы заставить их заплатить. В январе 2021 года группа вымогателей Avaddon также начала использовать эту тактику.
Ransomware теперь атакуют серверы Microsoft Exchange с помощью эксплойтов ProxyLogon
Злоумышленники теперь устанавливают новую программу-вымогатель под названием DEARCRY после взлома серверов Microsoft Exchange с использованием недавно обнаруженных уязвимостей ProxyLogon.
Поскольку ранее в этом месяце Microsoft сообщила, что злоумышленники скомпрометировали серверы Microsoft Exchange с помощью новых уязвимостей нулевого дня ProxyLogon, серьезную озабоченность вызывает тот факт, что злоумышленники будут использовать его для развертывания программ-вымогателей.
К сожалению, сегодня наши опасения стали реальностью, и злоумышленники используют уязвимости для установки программы-вымогателя DearCry.
Программа-вымогатель DearCry
По словам Майкла Гиллеспи, создателя сайта идентификации программ-вымогателей ID-Ransomware, начиная с 9 марта пользователи начали отправлять в его систему новое уведомление о выкупе и зашифрованные файлы.
Изучив представленные материалы, Гиллеспи обнаружил, что пользователи отправляли почти все из них с серверов Microsoft Exchange.
9 марта жертва также создала тему на форумах BleepingComputer, в которой они заявили, что их сервер Microsoft Exchange был скомпрометирован с использованием уязвимостей ProxyLogon, при этом полезной нагрузкой является программа-вымогатель DearCry.
После публикации нашей истории Microsoft подтвердила, что программа-вымогатель DearCry установлена в ходе управляемой человеком атаки на серверы Microsoft Exchange с использованием уязвимостей ProxyLogon.
Группы программ-вымогателей до сих пор слили украденные данные 2100 компаний
С 2019 года кибергруппы Ransomware слили украденные данные 2103 компаний на сайты утечки данных в dark web.
Когда в 2013 году начались операции с современными программами-вымогателями, целью злоумышленника было зашифровать как можно больше компаний, а затем потребовать выкуп за дешифратор.
С начала 2020 года операции с программами-вымогателями начали использовать новую тактику - двойное вымогательство.
Двойное вымогательство - это когда программа-вымогатель крадет незашифрованные файлы перед шифрованием сети. Затем злоумышленники угрожают публично опубликовать украденные файлы на сайтах утечки данных в темной сети, если не будет уплачен выкуп.
Между угрозой невозврата зашифрованных файлов и дополнительными опасениями, связанными с утечкой данных, государственными штрафами и судебными исками, злоумышленники полагаются на идею, что это заставит жертв с большей готовностью платить выкуп.
34 группы вымогателей которые сливают данные в dark web
Исследователь безопасности по dark web, известный как DarkTracer, отслеживал сайты утечки данных для тридцати четырех групп и сообщил, что теперь они утекли данные по 2103 организациям.
34 группы программ-вымогателей, за которыми следил DarkTracer, - это Team Snatch, MAZE, Conti, NetWalker, DoppelPaymer, NEMTY, Nefilim, Sekhmet, Pysa, AKO, Sodinokibi (REvil), Ragnar_Locker, Suncrypt, DarkSide, CL0P, Ereggaddon, Lock. , Ranzy Locker, Pay2Key, Cuba, RansomEXX, Everest, Ragnarok, BABUK LOCKER, Astro Team, LV, File Leaks, Marketo, N3tw0rm, Lorenz, Noname и XING LOCKER.
Из этих тридцати четырех есть пять наиболее активных: Conti (338 утечек), Sodinokibi / REvil (222 утечки), DoppelPaymer (200 утечек), Avaddon (123 утечки) и Pysa (103 утечки).
Три группы, которые больше не активны и имеют больше утечек, чем некоторые из тех, что находятся в первой пятерке, - это Maze (266 утечек) и Egregor (206 утечек).
Данные для всех сайтов утечки данных банды вымогателей представлены на диаграмме ниже, созданной DarkTracer от 4 мая 2021 года.
Некоторые из перечисленных групп больше не действуют, например NetWalker, Sekhmet, Egregor, Maze, Team Snatch, или переименованы в новое название, например NEMTY и AKO.
В центре внимания угроз: DarkSide, программа-вымогатель, использованная в атаке Colonial Pipeline.
В конце прошлой недели системы бизнес-сети Colonial Pipeline, крупнейшего поставщика топлива на восточном побережье США, были скомпрометированы из-за атаки программы-вымогателя, что вынудило компанию временно прекратить свою деятельность на время проведения расследования.
В понедельник утром по тихоокеанскому времени ФБР подтвердило, что виновником программы-вымогателя является DarkSide, довольно новый штамм, который начал делать себе имя примерно в середине-конце 2020 года. В этом посте мы рассмотрим вредоносное ПО и преступную группировку, которые, по мнению многих, базируются в Восточной Европе, стоящие за атакой Colonial Pipeline.
Профиль угрозы: программа-вымогатель DarkSide
DarkSide впервые был замечен в дикой природе в августе 2020 года и использовался APT-группой Carbon Spider, также известной как Carbanak и FIN7, в своих кампаниях по охоте на крупную дичь (BGH). Согласно профилю противника Crowdstrike в этой группе, она происходила из Российской Федерации и / или Украины. Начиная с 2013 года, Carbon Spider нацелился на учреждения на Ближнем Востоке, в Европе и, в конечном итоге, в Соединенных Штатах.
Программа-вымогатель DarkSide продается аффилированным лицам, использующим модель распространения «Программа-вымогатель как услуга» (RaaS), поэтому атаки осуществляются аффилированными лицами.
В настоящее время известны две версии DarkSide: DarkSide v1.0 и DarkSide v2.1. Последний имеет меньший вес по размеру файла (53 КБ против 59,5 КБ) и меньшее время дешифрования.
v2.1 имеет новую функцию «позвоните нам», которая позволяет филиалам программ-вымогателей проводить сеанс передачи голоса по IP (VoIP) с организациями-жертвами, их партнерами и даже журналистами. Считается, что они добавили эту функцию, чтобы оказать дополнительное давление на своих жертв.
DarkSide также имеет версию для Linux, которая способна атаковать уязвимости VMWare ESXi, делая виртуальные машины (ВМ) уязвимыми для взлома и шифрования виртуальных дисков.
Как и другие семейства программ-вымогателей Big Game Hunting, DarkSide управляется человеком. Это означает, что программа-вымогатель запускается реальным человеком за экраном после того, как он успешно проник в целевую сеть. Это позволяет злоумышленникам перемещаться вбок, обыскивая всю сеть, чтобы постоянно открывать лазейки для нескольких систем, пока они не получат административный доступ. Они используют эти учетные данные администратора для развертывания DarkSide.
Они также используют свое время в сети для сбора данных и загрузки на свои серверы, прежде чем они зашифруют копию жертвы.
После развертывания DarkSide начинает:
Шифрует все файлы, используя комбинацию Salsa20 и RSA-1024
Очищает корзину
Удаляет службы
Удаляет теневые копии
Завершает процессы
Шифрует локальные диски
Шифрует сетевые ресурсы
После того, как все данные были извлечены, злоумышленники размещают их на своем сайте утечки, DarkSide Leaks, вместе с другой соответствующей информацией об атаке, такой как название компании, дата взлома, объем украденных данных и т. Д. образцы скриншотов украденных данных и типы украденных данных.
Замечено, что программы-вымогатели DarkSide и REvil, также известные как Sodinokibi, имеют некоторые общие черты:
Их записки о выкупе, похоже, были составлены по одному и тому же шаблону.
Оба семейства программ-вымогателей используют Windows PowerShell для удаления теневых копий томов на скомпрометированных системах.
… И оба семейства также используют определенную строку кода PowerShell для выполнения этого действия.
DarkSide гарантирует, что жертвы почувствуют свое индивидуальное прикосновение, настроив записку с требованием выкупа и расширение файла для своих жертв. Например, контрольная сумма MAC-адреса жертвы используется в качестве имени расширения зашифрованных файлов, когда, как правило, программа-вымогатель просто использует свое собственное предопределенное расширение. (Например, программа-вымогатель HelloKitty использует .kitty.)
Отрывок записки о выкупе DarkSide воспроизводится ниже. Примечания о выкупе включают тип файлов, ссылку на личную страницу организации-жертвы утечки и инструкции о том, что жертвы могут делать.
[ Welcome to DarkSide 2.0]
>
What happend?
Your computers and servers are encrypted, backups are deleted. We use Strong encryption algorithms, so you cannot decrypt your data.
But you can restore everything by purchasing a special program from us - universal decryptor. This program will restore all your network.
Follow our instructions below and you will recover all your data.
Data leak
First of all we have uploaded more than full dump data.
These files include:
- finance
- private information
- partners documents
На сайте DarkSide Leaks есть раздел «Пресс-центр», где журналисты могут зарегистрироваться. В нем есть раздел, где «компании по восстановлению» - организации, которым не оставалось другого выбора, кроме как уступить требованию DarkSide о выкупе, - могут зарегистрироваться для получения дешифраторов, дополнительных «скидок» и иметь готовую линию в службу поддержки злоумышленников. Все это демонстрирует, насколько организованными могут быть операторы DarkSide.
Соломинка, которая сломала спину верблюда?
Атака DarkSide на Colonial Pipeline может оказаться той соломинкой, которая сломала спину верблюду. На прошлой неделе Белый дом провел экстренные заседания, чтобы рассмотреть уже подготовленный проект указа о кибербезопасности - возможно, чтобы усилить его после этой последней атаки, - который, как ожидается, будет выпущен в ближайшее время. До этого министерство юстиции США уже объявило о 120-дневном обзоре своего подхода к борьбе с киберугрозами, и в стратегическом плане Целевой группы по программам-вымогателям оно было рекомендовано рассматривать программы-вымогатели как угрозу национальной безопасности.
Вчера ФБР и Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) выпустили совместный совет по кибербезопасности (CSA) против программы-вымогателя DarkSide. Он содержит подробные инструкции по снижению риска, которым должен следовать бизнес, чтобы снизить риск успешных атак программ-вымогателей в целом. К ним относятся простые шаги, такие как:
Использование многофакторной аутентификации (MFA) для удаленного доступа к сетям
Включение более сильных спам-фильтров
Обновление программного обеспечения до последних версий
Регулярное сканирование систем с помощью хорошего антивируса и
Ограничение доступа к ресурсам по сети
Организации всех секторов должны учитывать эти передовые методы. Потому что до публикации этой статьи DarkSide, похоже, заручился еще одной жертвой.
серверы вымогателей DarkSide захвачены, работа прекращена
Операции DarkSide прекратились после того, как злоумышленники потеряли доступ к серверам, а их криптовалюта была переведена в неизвестный кошелек.
Этой новостью поделился злоумышленник, известный как UNKN, публичный представитель конкурирующей группы REvil.
В этом посте Unkn поделился сообщением якобы от DarkSide, в котором объясняется, как злоумышленники потеряли доступ к своему публичному сайту утечки данных, серверам платежей и серверам CDN из-за действий правоохранительных органов.
«Сейчас эти серверы недоступны по SSH, хостинговые панели заблокированы. Поддержка хостинга, кроме информации« по запросу правоохранительных органов », не предоставляет никакой другой информации».
Со вчерашнего дня исследователи безопасности и журналисты отметили, что сайт утечки данных DarkSide больше не доступен, и предполагалось, что правоохранительные органы захватили сервер.
BleepingComputer подтвердил, что на момент написания этой статьи платежный сервер DarkSide Tor все еще работает. Если правоохранительные органы захватят сервер, они могли бы оставить его работающим, чтобы позволить жертвам получить доступ к своим дешифраторам.
DarkSide закрывает партнерскую программу
После того, как мы опубликовали нашу историю, Intel471 получил доступ к полному тексту сообщения, отправленного филиалам программы-вымогателя DarkSide как услуги.
Согласно этому сообщению, DarkSide решили закрыть свою деятельность «из-за давления со стороны США» и после потери доступа к своим публичным серверам.
Программа-вымогатель REvil добавляет новые ограничения
Исторически сложилось так, что банда вымогателей REvil не проявляла угрызений совести в отношении того, кого они атакуют.
Однако после того, как DarkSide объявил об уничтожении, REvil теперь начал вводить новые ограничения на то, кто может быть зашифрован.
Представитель REvil, UNKN, заявляет, что теперь филиалы должны сначала получить разрешение на таргетинг на организацию и что они больше не могут нацеливаться на следующие организации:
1. Запрещается работа в социальной сфере (здравоохранение, учебные заведения);
2. Запрещается работать в гос-секторе (государстве) любой страны;
Реклама программ-вымогателей теперь также запрещена на форуме Exploit Cybercrime
Команда разработчиков Exploit, крупного форума по борьбе с киберпреступностью, используемого кибергруппами для найма партнеров и рекламы своих услуг Ransomware-as-a-Service (RaaS), объявила, что реклама программ-вымогателей теперь запрещена и будет удалена.
Этот шаг последовал за заявлением, сделанным вчера русскоязычным хакерским форумом XSS о том, что темы программ-вымогателей навсегда запрещены.
Exploit утверждает, что это решение было принято потому, что группы программ-вымогателей, атакующие цели без разбора, привлекают «большое внимание».
DarkSide прекратил работу RaaS
Exploit и XSS реагируют на усиление давления на группы RaaS, которые ранее использовали два форума, включая REvil, LockBit, DarkSide, Netwalker и Nefilim.
Это прямой результат того, что они оказались под прицелом правоохранительных органов после атаки программы-вымогателя DarkSide на Colonial Pipeline, которая нарушила работу топливопровода США.
Нападение было также рассмотрено в Белом доме на брифингах по национальной безопасности на этой неделе и вызвало региональное объявление чрезвычайного положения, затронувшее 17 штатов и округ Колумбия.
Zeppelin ransomware возвращается к жизни с обновленной версией
Разработчики Zeppelin возобновили свою деятельность после периода относительного молчания, начавшегося прошлой осенью, и начали рекламировать новые версии вредоносного ПО.
Недавний вариант вредоносного ПО стал доступен на хакерском форуме в конце прошлого месяца, предлагая киберпреступникам, занимающимся программами-вымогателями, полную независимость.
Новые версии в продаже
Программа-вымогатель Zeppelin также называется Buran и происходит от семейства Vega / VegaLocker, программы-вымогателя как услуги на базе Delphi (RaaS), которую в 2019 году наблюдали на русскоязычных хакерских форумах.
Однако разработчики штамма вымогателя Zeppelin продают его на подпольных форумах, позволяя покупателям решать, как они хотят использовать вредоносное ПО. У разработчиков также есть своего рода индивидуальные партнерские отношения с определенными пользователями их вредоносных программ.
Это контрастирует с классическими операциями RaaS, где разработчики обычно ищут партнеров для проникновения в сеть жертвы, для кражи данных и развертывания вредоносного ПО для шифрования файлов. Затем обе стороны разделили выплаченный выкуп, а разработчики получили меньшую часть (до 30%).
За пять месяцев до того, как DarkSide атаковал Colonial pipeline, два исследователя нашли способ спасти жертв вымогателей. Затем хакеров насторожило объявление антивирусной компании.
11 января антивирусная компания Bitdefender заявила, что «рада объявить» о поразительном прорыве. Он обнаружил уязвимость в программе-вымогателе, которую кибергруппа, известная как DarkSide, использовала для замораживания компьютерных сетей десятков предприятий в США и Европе. Компании, сталкивающиеся с требованиями DarkSide, могут загрузить бесплатный инструмент от Bitdefender и не платить хакерам миллионы долларов выкупа.
Но Bitdefender не был первым, кто обнаружил этот недостаток. Два других исследователя, Фабиан Восар и Майкл Гиллеспи, заметили это за месяц до этого и начали незаметно искать жертв, чтобы помочь. Публикуя свой инструмент, Bitdefender невольно предупредил DarkSide об ошибке, которая заключалась в повторном использовании одних и тех же цифровых ключей для блокировки и разблокировки нескольких жертв. На следующий день DarkSide заявила, что устранила проблему и что «новым компаниям не на что надеяться».
«Особая благодарность BitDefender за помощь в решении наших проблем», - сказал DarkSide. «Это сделает нас еще лучше».
DarkSide вскоре доказал, что это не блеф, и развязал серию атак. В этом месяце он парализовал Colonial Pipeline Co., вызвав остановку трубопровода протяженностью 5500 миль, по которому транспортируется 45% топлива, используемого на восточном побережье, за которым сразу же последовал рост цен на бензин, панические закупки газа на юго-востоке и и закрытие тысяч заправочных станций. В отсутствие объявления Bitdefender, вполне возможно, что кризис удалось сдержать и что Colonial могла незаметно восстановить свою систему с помощью инструмента дешифрования Wosar and Gillespie.
Восар сказал, что публичный выпуск инструментов, как это сделал Bitdefender, стал более рискованным, поскольку выросли выкупы, а кибергруппы стали богаче и технически подкованными.
Сегодня создатели программ-вымогателей «имеют доступ к реверс-инженерам и очень способным тестерам на проникновение», - сказал он. «Именно так они в первую очередь получают доступ к этим зачастую хорошо защищенным сетям. Они загружают дешифратор, разбирают его, реконструируют и точно выясняют, почему мы смогли расшифровать их файлы. И через 24 часа все исправлено. Bitdefender должен был знать лучше ».
Богдан Ботезату, директор по исследованию угроз Bitdefender в Бухаресте, Румыния, сказал, что компания не знала о ранее достигнутых успехах в разблокировке файлов, зараженных DarkSide.
Тем не менее, по его словам, Bitdefender решил опубликовать свой инструмент, «потому что большинство жертв, попадающих под действие программ-вымогателей, не имеют правильной связи с группами поддержки программ-вымогателей и не будут знать, куда обратиться за помощью, если они не узнают о существовании инструментов из средств массовой информации. отчеты или с помощью простого поиска ».
Bitdefender признал, что DarkSide может исправить ошибку, Ботезату сказал: «Мы хорошо знаем, что злоумышленники гибки и адаптируются к нашим дешифраторам». Но DarkSide все равно «заметила проблему». «Мы не верим в дешифраторы программ-вымогателей, которые доступны незаметно. Злоумышленники узнают об их существовании, выдав себя за домашних пользователей или нуждающихся компаний, в то время как подавляющее большинство жертв не подозревают, что они могут вернуть свои данные бесплатно ».
К разочарованию команды Восар обнаружил, что инструмент Bitdefender имеет свои недостатки. Используя дешифратор компании, он попытался разблокировать образцы, зараженные DarkSide, и обнаружил, что они были повреждены в процессе. «На самом деле они неправильно реализовали дешифрование, - сказал Восар. «Это означает, что если жертвы действительно использовали инструмент Bitdefender, велика вероятность, что они повредили данные».
ФБР: REvil кибергруппа, стоящая за атакой программы-вымогателя на JBS
Федеральное бюро расследований официально заявило, что операция REvil, также известная как Sodinokibi, стоит за атакой вымогателей, нацеленной на JBS, крупнейшего в мире производителя мяса.
«Мы приписали атаку JBS REvil и Sodinokibi и прилагаем все усилия, чтобы привлечь к ответственности виновных», - говорится в заявлении ФБР о кибератаке JBS.
«Мы продолжаем сосредотачивать наши усилия на создании рисков и последствий и привлечении к ответственности ответственных киберпреступников».
Атаки программ-вымогателей участились за последний месяц, поскольку злоумышленники нацелены на критически важную инфраструктуру и службы.
В прошлом месяце операция вымогателя DarkSide атаковала Colonial Pipeline, крупнейший топливопровод в США, и привела к временному прекращению транспортировки топлива на юго-восток и северо-восток США.
Неделю спустя национальная система здравоохранения Ирландии, HSE, подверглась атаке программы-вымогателя Conti, которая серьезно нарушила работу служб здравоохранения по всей стране.
Считается, что все эти кибергруппы, включая REvil, действуют за пределами России.
Сегодня на брифинге для прессы пресс-секретарь Джен Псаки заявила, что президент Байден обсудит эти атаки с президентом России Владимиром Путиным на саммите в Женеве 16 июня.
«Это будет предметом обсуждения в ходе прямых бесед один на один или прямых переговоров с президентом Путиным и президентом Байденом, которые состоятся всего через пару недель», - сказал Псаки на брифинге для прессы.
REvil, также известный как Sodinokibi, начал свою деятельность в апреле 2019 года и считается ответвлением или ребрендингом печально известной банды вымогателей GandCrab, которая закрылась в июне 2019 года.
Атака программы-вымогателя наJBS
Атака программы-вымогателя на JBS произошла рано утром в воскресенье, 31 мая, в результате чего JBS отключила свою сеть, чтобы предотвратить распространение атаки.
«Компания приняла незамедлительные меры, приостановив работу всех затронутых систем, уведомив органы власти и активировав глобальную сеть ИТ-специалистов и сторонних экспертов компании для разрешения ситуации», - говорится в заявлении JBS USA.
Атака также привела к тому, что JBS закрыла несколько предприятий по производству продуктов питания, поскольку они потеряли доступ к частям своей сети.
JBS заявила, что их резервные копии не пострадали и что они будут восстанавливать из резервной копии.
Однако BleepingComputer узнал из источников, знакомых с атакой, что было два зашифрованных / поврежденных набора данных, которые не позволили компании вернуться в онлайн.
Проблемы с этими базами данных, похоже, были решены, и JBS заявляет, что большинство их заводов должны быть введены в эксплуатацию завтра.
«Наши системы снова в сети, и мы не жалеем ресурсов для борьбы с этой угрозой. У нас есть планы кибербезопасности для решения таких проблем, и мы успешно выполняем эти планы», - сказал Андре Ногейра, генеральный директор JBS USA.
Производитель компьютерной памяти ADATA пострадал от вымогателя Ragnar Locker
Тайваньский ведущий производитель памяти и устройств хранения данных ADATA сообщает, что атака программы-вымогателя вынудила его отключить системы после того, как в конце мая была поражена его сеть.
ADATA производит высокопроизводительные модули памяти DRAM, карты флэш-памяти NAND и другую продукцию, включая мобильные аксессуары, игровые продукты, электропоезда и промышленные решения.
В 2018 году компания была признана вторым по величине производителем памяти DRAM и твердотельных накопителей (SSD).
ADATA подтверждает майскую атаку вымогателей
Тайваньский производитель памяти отключил все затронутые системы после обнаружения атаки и уведомил все соответствующие международные органы об инциденте, чтобы помочь отследить злоумышленников.
«Компания ADATA подверглась атаке программы-вымогателя 23 мая 2021 года», - сообщила компания BleepingComputer в сегодняшнем электронном письме.
По словам производителя памяти, бизнес-операции ADATA больше не прерываются, при этом поврежденные устройства восстанавливаются, а службы прекращают работу в обычном режиме.
«Компания успешно приостановила работу затронутых систем, как только была обнаружена атака, и были предприняты все необходимые усилия для восстановления и обновления соответствующих систем ИТ-безопасности», - добавила ADATA.
«К счастью, все движется в нормальное русло, и бизнес-операции не прерываются, поскольку соответствующие меры на случай непредвиденных обстоятельств эффективны.
«Мы полны решимости посвятить себя созданию защищенной системы, чем когда-либо, и да, это будет наша бесконечная практика, пока компания движется вперед к своему будущему росту и достижениям».
Программа-вымогатель Ragnar Locker заявляет об атаке
ADATA не предоставила информации о действиях программы-вымогателя, стоящей за инцидентом, или каких-либо требованиях выкупа. Однако в минувшие выходные об атаке уже заявили кибергруппы Ragnar Locker.
Ragnar Locker сообщает, что они якобы украли 1,5 ТБ конфиденциальных данных из сети ADATA перед развертыванием полезной нагрузки вымогателя.
Пока что Ragnar Locker опубликовал только скриншоты украденных файлов и папок в качестве доказательства своих заявлений, но они угрожают утечкой остальных данных, если производитель памяти не заплатит выкуп.
Согласно снимкам экрана, уже размещенным Ragnar Locker на своем сайте утечки в темной сети, злоумышленники могут собирать и извлекать служебную бизнес-информацию, конфиденциальные файлы, схемы, финансовые данные, исходный код Gitlab и SVN, юридические документы, информацию о сотрудниках, соглашения о неразглашении информации и работу. папки.
Впервые активность программы-вымогателя Ragnar Locker была обнаружена в ходе атак на несколько целей в конце декабря 2019 года.
На скомпрометированных корпоративных конечных точках операторы Ragnar Locker завершают работу программного обеспечения удаленного управления (например, ConnectWise и Kaseya), используемого поставщиками управляемых услуг (MSP) для удаленного управления системами клиентов.
Это позволяет злоумышленникам избежать обнаружения и гарантировать, что администраторы, вошедшие в систему удаленно, не заблокируют процесс развертывания полезной нагрузки.
ФБР предупредило партнеров из частного сектора об увеличении активности программ-вымогателей Ragnar Locker после атаки в апреле 2020 года, которая затронула сеть транснационального энергетического гиганта Energias de Portugal (EDP).
REvil Ransomware поразил американского поставщика ядерного оружия
Американский подрядчик по производству ядерного оружия Sol Oriens подвергся кибератаке, предположительно, от кибергруппы REvil, которая утверждает, что продает с аукциона данные, украденные во время атаки.
Sol Oriens описывает себя как помощь «Министерству обороны и Министерству энергетики организациям, авиакосмическим подрядчикам и технологическим компаниям в выполнении сложных программ».
REvil утверждает, что украл данные с Sol Oriens
На прошлой неделе операторы REvil перечислили компании, чьи данные они продавали с аукциона, по самой высокой цене.
Одна из перечисленных компаний - Sol Oriens, где REvil утверждает, что украл бизнес-данные и данные сотрудников, включая информацию о зарплате и номера социального страхования.
В качестве доказательства того, что они украли данные во время атаки, REvil опубликовал изображения документа с обзором найма, документов о заработной плате и отчета о заработной плате.
Чтобы заставить Сола Ориенса удовлетворить требования злоумышленника о вымогательстве, кибергруппа пригрозила предоставить «соответствующую документацию и данные военным ведомствам (так в оригинале) по нашему выбору (так в оригинале)».
В заявлении, опубликованном Джаверсом в Twitter, Sols Oriens подтвердила кибератаку в мае 2021 года, которая затронула их сеть.
кибергруппа Ragnar Locker опубликовала ссылки для скачивания более 700 ГБ заархивированных данных, украденных у тайваньского производителя микросхем памяти и памяти ADATA.
Набор из 13 архивов, предположительно содержащих конфиденциальные файлы ADATA, был общедоступен в облачной службе хранения, по крайней мере, в течение некоторого времени. Большие файловые архивы ADATA
В субботу злоумышленник опубликовал на своем сайте утечки ссылки для загрузки нового набора корпоративных документов ADATA, предупредив заинтересованные стороны о том, что ссылки не сохранятся надолго.
Предчувствие Ragnar Locker подтвердилось, поскольку служба хранения MEGA, где злоумышленники решили разместить незаконно полученные данные, отреагировала и закрыла учетную запись, запретив доступ к любым файлам, которыми они поделились публично.
Два из просочившихся архивов довольно большие и весят более 100 ГБ, но некоторые из них, которые можно было бы легко загрузить, имеют размер менее 1,1 ГБ.
Согласно метаданным файла, опубликованным злоумышленником, самый большой архив составляет около 300 ГБ, и его имя не дает представления о том, что он может содержать. Еще один большой - 117 ГБ и название его такое же невзрачное, как и у первого (Архив №2).
Судя по названиям архивов, Ragnar Locker, вероятно, украл у ADATA документы, содержащие финансовую информацию, соглашения о неразглашении и другие подробности.
Атака программ-вымогателей на ADATA произошла 23 мая 2021 года, вынудив их отключить системы. Как ясно показывает утечка Ragnar Locker, ADATA не заплатила выкуп и самостоятельно восстановила пораженные системы.
Злоумышленник утверждает, что украл 1,5 ТБ конфиденциальных файлов перед развертыванием процедуры шифрования, заявив, что они не торопились с этим из-за плохой защиты сети.
«Итак, как обычно, мы действительно предложили сотрудничать, чтобы исправить уязвимости и восстановить их систему и, конечно же, избегать любых публикаций по этой проблеме, однако они не особо ценили свою личную информацию, а также партнеров / клиенты / сотрудники / информация о клиентах »- Ragnar Locker
Недавно просочившаяся партия архивов - вторая, которую вымогатель Ragnar Locker публикует для ADATA. Предыдущий был опубликован ранее в этом месяце и включает четыре небольших архива по 7 zip (вместе менее 250 МБ), которые все еще можно загрузить.
Комментарии
Несмотря на недолгое время, ProLock уже завоевал популярность, ориентируясь на финансовые, медицинские, государственные и розничные организации. Первая крупная атака группы, о которой мы знаем, по крайней мере, произошла в конце апреля, когда они успешно атаковали Diebold Nixdorf - одного из основных поставщиков банкоматов.
Начальный доступ
Операторы ProLock использовали два основных вектора начального доступа: QakBot (Qbot) и незащищенные протоколы удаленного рабочего стола (RDP) со слабыми учетными данными.
Как правило, QakBot распространяется через фишинговые кампании. Фишинговые электронные письма могут содержать вложения документов Microsoft Office, находящихся под оружием, или просто ссылки на такие документы, которые находятся в облачном хранилище - например, Microsoft OneDrive.
выполнение
После того, как жертва загрузит и откроет зараженный документ, и вредоносные макросы будут включены, PowerShell запускается и используется для загрузки и запуска полезной нагрузки QakBot с сервера C2.
В случае доступа RDP действительные учетные записи используются для обеспечения устойчивости в сети
Уклонение от защиты:
У QBot есть хитрый трюк, позволяющий избежать обнаружения: он проверяет наличие самой новой версии и заменяет текущую версию новой. Исполняемые файлы подписываются украденной или поддельной подписью. Начальная полезная нагрузка, загруженная PowerShell, сохраняется на сервере с расширением PNG. Более того, после выполнения он заменяется легитимным файлом calc.exe.
Чтобы избежать обнаружения, QakBot также использует explorer.exe для выполнения метода внедрения процесса.
Как уже упоминалось, полезная нагрузка ProLock скрыта внутри файла BMP или JPG и может также рассматриваться как метод уклонения от защиты.
Доступ к учетным данным
QakBot обладает возможностями кейлогера, но также может загружать и запускать дополнительные сценарии, такие как Invoke-Mimikatz, версия пресловутого Mimikatz для PowerShell. Это позволяет противнику использовать метод сброса учетных данных.
открытие
После получения привилегированных учетных данных операторы ProLock начинают операции по обнаружению сети. Они включают, но не ограничиваются ими, сканирование портов и разведку Active Directory.
В дополнение к широкому спектру сценариев злоумышленники используют AdFind - еще один популярный инструмент, используемый многими группами вымогателей - для запросов к Active Directory.
Боковое движение
Многие противники предпочитают RDP для бокового перемещения по сетям, и ProLock не является исключением. Злоумышленники имеют в своем арсенале пакетные сценарии для обеспечения доступа RDP на целевых хостах
Для удаленного выполнения сценариев операторы ProLock используют PsExec из Sysinternals Suite, еще одного распространенного инструмента.
Для запуска ProLock на хостах злоумышленники использовали WMIC - интерфейс командной строки для инструментария управления Windows - который также становится все более популярным среди операторов вымогателей.
Коллекция
Как и многие другие группы, операторы ProLock собирают данные из скомпрометированных сетей, чтобы повысить свои шансы на удовлетворение своих требований о выкупе. До эксфильтрации собранные данные архивируются с помощью 7Zip.
эксфильтрации
Для эксфильтрации операторы ProLock используют Rclone, инструмент командной строки, способный синхронизировать файлы с различными поставщиками облачного хранилища, такими как OneDrive, Google Drive, Mega и т. д.
Влияние
После фильтрации данных группа развертывает ProLock в масштабах всего предприятия. PowerShell используется для извлечения двоичного файла из файла PNG или JPG и вставки его в память
ProLock убивает процессы из встроенного списка (что интересно, он использует только шесть букв из имени процесса, например «winwor») и останавливает службы, в том числе связанные с безопасностью, такие как CSFalconService (CrowdStrike Falcon), с помощью команды net stop.
Затем, как и многие другие семейства вымогателей, он использует vssadmin для удаления теневых копий томов и ограничения их размера, поэтому новые копии не создаются
ProLock добавляет расширение .proLock, .pr0Lock или .proL0ck к каждому зашифрованному файлу и помещает [HOW TO RECOVER FILES]].TXT в каждую папку - файл с инструкциями о том, как расшифровать файлы, включая ссылку на сайт, где находится жертва необходимо ввести уникальный идентификатор и получить информацию об оплате
Каждый образец ProLock имеет встроенную сумму выкупа - в данном случае это было 35 биткойнов, или примерно 312 000 долларов.
https://www.group-ib.com/blog/prolock
статья в русской редакции на Хабре:
https://habr.com/ru/company/group-ib/blog/502770/
AKO Ransomware начал работать в январе 2020 года, когда они начали ориентироваться на корпоративные сети с открытыми службами удаленных рабочих столов.
CL0P начинался как вариант CryptoMix и вскоре стал выбором вымогателей для группы APT, известной как TA505.
DoppelPaymer Ransomware
В июле 2019 года появилось новое вымогательское ПО, которое выглядело и действовало так же, как другое вымогательское ПО под названием BitPaymer.
Maze Ransomware впервые применил новую тактику кражи файлов и использовании их в качестве рычага, чтобы заставить жертву заплатить.
Nemty Ransomware
Первоначально запущенный в январе 2019 года как Ransomware-as-a-Service (RaaS) под названием JSWorm, вымогатель переименовал его в Nemty в августе 2019 года.
Nephilim Ransomware
30 марта оператор Nemty Ransomware начал создавать новую группу филиалов для частного Ransomware-as-a-Service под названием Nephilim.
Netwalker Ransomware
Начиная с вымогателей Mailto в октябре 2019 года, вымогатели переименовали в Netwalker в феврале 2020 года.
Pysa впервые появилась в октябре 2019 года, когда компании начали сообщать о том, что новое программное обеспечение вымогателей зашифровало их серверы.
Впервые увиденный в феврале 2020 года, Ragnar Locker был первым, кто в значительной степени нацелился и завершил процессы, используемые провайдерами управляемых услуг (MSP).
Sodinokibi вступил в строй в апреле 2019 года и считается преемником GandCrab, который прекратил свою деятельность по вымогательству в 2019 году.
Sekhmet появился в марте 2020 года, когда он начал ориентироваться на корпоративные сети.
Работая с конца 2018 года, Snatch был одним из первых вымогателей, которые украли данные и угрожали их опубликовать.
CryLock Ransomware
Работая с 2014/2015, вымогателей, известных как Cryakl, в этом году переименовали в CryLock.
В рамках ребрендинга они также начали кражу данных у компаний перед тем, как зашифровать их файлы и публикуют их, если не заплатили.
ProLock Ransomware начал свою деятельность как PwndLcker в 2019 году, когда они начали ориентироваться на корпоративные сети с требованиями выкупа в диапазоне от 175 000 до более 660 000 долларов.
Snake Ransomware начал работать в начале января 2020 года, когда они начали атаковать предприятия в рамках сетевых атак.
https://www.bleepingcomputer.com/news/security/list-of-ransomware-that-leaks-victims-stolen-files-if-not-paid/
Jakub Kroustek:
'.space' - '[email protected]' - https://virustotal.com/gui/file/23af9527da7eabdac8ebb7449ce6f23811bcf1ce5eae02ca10ac032eb423631d/
#CrySiS #Dharma #ransomware
+
Jakub Kroustek:
'.BOMBO' - '[email protected]' - https://virustotal.com/gui/file/307077d1a3fd2b53b94d88268e31b0b89b8c0c2ee9dbb46041d3e2395243f1b3/
#CrySiS #Dharma #ransomware
+
Jakub Kroustek:
'.ONE' - '[email protected]' - https://virustotal.com/gui/file/7cb8e9a8ccf5e5637c8d44db52b9b56bcd4e8c01b19613fe85100bb71594724a/
#CrySiS #Dharma #ransomware
+
".act" - [email protected]
https://forum.kasperskyclub.ru/topic/65378-shifrovalschik-activecryptaolcomact/
#CrySiS #Dharma #ransomware
+
".pgp" - [email protected]
https://www.virustotal.com/gui/file/2f2e75affe9217c7211043936678fb1777e2db4a8f1986b8805ddb1e84e9e99b/detection
https://virusinfo.info/showthread.php?t=225136
#CrySiS #Dharma #ransomware
+
Jakub Kroustek:
'.FRM' - '[email protected]' - https://virustotal.com/gui/file/0c3a489f631231d4957834ff8c3d1053e920689a342ea333709793d0dc0163de/ #CrySiS #Dharma #ransomware
+
Jakub Kroustek:
'.wch' - '[email protected]' - https://virustotal.com/gui/file/40321e5854a892e30534117fe34462d5a3c3077ec7ae77eddb57f0048f0fc32e/
#CrySiS #Dharma #ransomware
+
Jakub Kroustek:
'.club' - '[email protected]' - https://virustotal.com/gui/file/d4de6368b64c3ce141ef9125963164eb47ec1192bdf4352c41912882e14fd8f8/
#CrySiS #Dharma #ransomware
+
".dr" - [email protected]
https://forum.kasperskyclub.ru/topic/65561-shifrovalschik-drdecryptaolcom/
#CrySiS #Dharma #ransomware
+
Jakub Kroustek:
'.hack' - '[email protected]' - https://virustotal.com/gui/file/969055343b00f8e40a76a93d22082d94a70bcb3a0277282c71024478c89bea3d/ #CrySiS #Dharma #ransomware
+
Jakub Kroustek:
'.HCK' - '[email protected]' - https://virustotal.com/gui/file/2c37c48e249258c88a75c508cd3df9707796d7608bae86df6c47cf3f0b81200a/ #CrySiS #Dharma #ransomware (including powershell scripts)
+
Jakub Kroustek:
'.r3f5s' - '[email protected]' - https://virustotal.com/gui/file/12c24d9ca6e75ffebf4c2ecdb981a53962d0a832ad3698e4d28db1208333f579/ #CrySiS #Dharma #ransomware
+
Jakub Kroustek:
'.bad' - '[email protected]' - https://virustotal.com/gui/file/4d48d920a28ac94f75fad4006bde164d6a12595bcab78aa57af4cba65dee4474/ #CrySiS #Dharma #ransomware
+
Jakub Kroustek:
'.hlpp' - '[email protected]' - https://virustotal.com/gui/file/48ffa796e082e31706478eeda00ef216e067e5a9ae36f0a6ecfac44264ba31dd/ #CrySiS #Dharma #ransomware
+
dnwls0719:
Ext: ".base" mail: [email protected]
R/n: FILES ENCRYPTED.txt
https://virustotal.com/gui/file/880207fb1e6f801d59d06208b8e37271c877bea94821fbf2883c6d70558fe587/detection
#CrySis/#Dharma #Ransomware
+
.HOW - [email protected]]
https://forum.kasperskyclub.ru/topic/65681-zashifrovano-how_decryptaolcomhow/
r/n: info.hta; FILES ENCRYPTED.txt
+
Jakub Kroustek:
'.HOW' - '[email protected]' - https://virustotal.com/gui/file/aaa58c49704fd80ed8cbb39a92bb2dc923d402b40077c9c155e5f46f874db7e3/ #CrySiS #Dharma #ransomware
+
Michael Gillespie:
#Dharma #Ransomware w/ extension ".team" spotted on ID Ransomware
+
dnwls0719:
Ext: ".credo" mail:[email protected]
R/n:FILES ENCRYPTED.txt
https://virustotal.com/gui/file/a49742e72ca26d37e26962ba7f2d929b87ddb6ce07f3304f78e9af499b226281/detection
#CrySis/#Dharma #Ransomware
+
Jakub Kroustek:
'.lxhlp' - '[email protected]' - https://virustotal.com/gui/file/78c67c0dd37ebb4e984ca8bfb5d3334eef0c21f26261b12d7644dd4d030bfd88/ #CrySiS #Dharma #ransomware
+
Jakub Kroustek:
'.NHLP' - '[email protected]' - https://virustotal.com/gui/file/7563103c40ba3557be4666680ab056de4bc23e99788183490c5f9d6c141e6d0e/ #CrySiS #Dharma #ransomware
+
Jakub Kroustek:
'.gyga' - '[email protected]' - https://virustotal.com/gui/file/9de6a6ec09ad628c648c55914a838942b6803b1f36d4918504d47f642d7e3a4f/ #CrySiS #Dharma #ransomware
+
Jakub Kroustek:
'.bmtf' - '[email protected]' - https://virustotal.com/gui/file/ba373b768f74378ba4403613e42ad222993057c1fbedb239fcd9bfafcef5145f/ #CrySiS #Dharma #ransomware
+
Jakub Kroustek:
'.prnds' - '[email protected]' - https://virustotal.com/gui/file/eba0eb8da8fb574e12e48b6435ea6d3b9f849c6219356565bbb5abf1f96b40ba/ #CrySiS #Dharma #ransomware
+
Michael Gillespie:
#Dharma #Ransomware w/ extension ".teamV", "[email protected]" spotted on ID Ransomware.
+
Jakub Kroustek:
'.GNS' - '[email protected]' - https://virustotal.com/gui/file/4efa28ba5bd1add4623fbc93a0e544b138a7a5dc095c0df2b9b77ecddd418722/ #CrySiS #Dharma #ransomware
+
'.felix' - '[email protected]' - https://virustotal.com/gui/file/83ef5862fddfbf23d34e9676642f0dc8e54bd25c9d9fa0695c59d44b8f9190dd/ #CrySiS #Dharma #ransomware
+
'.null' - '[email protected]' - https://virustotal.com/gui/file/41503d4428d23f4b20286aa61c6bca4273aa2e02a7540ccf87514b5a930192d8/ #CrySiS #Dharma #ransomware
+
Michael Gillespie:
#Dharma #Ransomware w/ extension ".smpl", email [email protected] spotted on ID Ransomware. +
"'.rxx'" - "[email protected]"
https://app.any.run/tasks/4f3d06f5-9a88-4213-bb8f-f9844ac2b14e
#CrySiS #Dharma #ransomware
+
Jakub Kroustek:
''.data'' - '[email protected]' - https://virustotal.com/gui/file/971573155a414b5f5d6ca92d1e4126f5468ff39a4a6c91c03eb1e67ede82f2fe/ #CrySiS #Dharma #ransomware
+
Marcelo Rivero:
.homer - "homersimpson777@mail[.]fr"
- Note: FILES ENCRYPTED.txt / Info.hta
- #CrySis/#Dharma #Ransomware
+
Jakub Kroustek:
'.HAT' - '[email protected]' - https://virustotal.com/gui/file/5d50101ed7891a85cdf98d9c8d5014223d5fad04d3eae6170afa2b1b00581bd5/ #CrySiS #Dharma #ransomware
+
Marcelo Rivero:
'.tcprx' - '[email protected]'
https://www.virustotal.com/gui/file/e7cb48855681fc2655c5e54a0d9ef32a62634614d19dc294d74f22c97ebe47ba/detection
#CrySiS #Dharma #ransomware
+
Jakub Kroustek:
'.LOG' - '[email protected]' - https://virustotal.com/gui/file/e59eb03dc810cbdb718e6b5fc087fb21b4c6e8b3a62ffe29cc6486901ff68168/ #CrySiS #Dharma #ransomware
CryCryptor появился всего через несколько дней после того, как канадское правительство официально объявило о своем намерении поддержать разработку общенационального приложения для добровольного отслеживания под названием COVID Alert. Официальное приложение должно быть запущено для тестирования в провинции Онтарио уже в следующем месяце.
ESET проинформировал Канадский центр кибербезопасности об этой угрозе, как только она была выявлена.
https://www.welivesecurity.com/2020/06/24/new-ransomware-uses-covid19-tracing-guise-target-canada-eset-decryptor/
thyrex:
#WannaCash 2.0 #Ransomware from August 1, 2020
Changes filename to [number] Файл зашифрован. Пиши. [ Почта [email protected] ] .WANNACASH v010820
Email: [email protected]
Reserved email: [email protected]
'.1dec' - '[email protected]'
https://www.virustotal.com/gui/file/47e569fe14acf461ed5ef997b31ce8d8981aebafce5f83753636ee37555b46e4/detection
#CrySiS
+
Jakub Kroustek:
'.xati' - '[email protected]' - https://virustotal.com/gui/file/bd119855b3c70a15b81bd76949560049e36578a2bf89a9ca7d85c62ab560d231/ #CrySiS
+
Jakub Kroustek:
'.GET' - '[email protected]' - https://virustotal.com/gui/file/dd0becfddf23e1ce3ba0d2e14860775ef018da3b6f5ae93cc2afea0e137918c1/ #CrySiS
+
Jakub Kroustek:
'.Back' - '[email protected]' - https://virustotal.com/gui/file/62e7e6d7674d141a3e6c21734b8e90d1bb037cb481767107cd376c0f39ed04fd/ #CrySiS
+
xiaopao:
.Aim - "[email protected]"
md5:b7a281131c0536c293a3829fad957b85
+
Jakub Kroustek:
'.get' - '[email protected]' - https://virustotal.com/gui/file/
8f207c96ba8dec4304b6c394afd5e93266fa756018930fe70c201051fce7be94 #CrySiS
+
'.abc' - '[email protected]' - https://virustotal.com/gui/file/210dfc893a183ede7a7920582123d2c9f5989dd53a9bd7a16afd075b84e8dca0/ #CrySiS
+
'.rec' - "[email protected]"
https://forum.kasperskyclub.ru/topic/70071-zashifrovano-enabledecryptaolcomrec/
+
'.NW24' - '[email protected]' - https://virustotal.com/gui/file/49b168bb2c29ae38864d51958bc4718a48011be3e737a1bc55d50b62e08d6bdd/ #CrySiS
+
'.gtf' - '[email protected]' - https://virustotal.com/gui/file/7f6bb5929acf9419aa1cfb698cd95351b9843d21467a3adee5df29d2b24ecabc/ #CrySiS
+
'.cl' - '[email protected]' - https://virustotal.com/gui/file/b7a4b6a622db4163338ba420e7f4b4b9d3adae82d04ef43f5e9d5995bcb31ee3/ #CrySiS
+
xiaopao:
".gold" - "[email protected]"
https://www.virustotal.com/gui/file/ad14312e134f8b9483b2d701b1470758e8944764ec803252efede6b1c49e9485/detection #CrySiS
+
".eur" - "[email protected]"
https://www.virustotal.com/gui/file/8e8b6818423930eea073315743b788aef2f41198961946046b7b89042cb3f95a/detection #CrySiS
+
Jakub Kroustek:
'.blm' - '[email protected]' - https://virustotal.com/gui/file/3ffdc66b27556a72f5acb3416bc97d7642352a5221bfe7fad12e01c6dc36beb9/ #CrySiS
+
xiaopao:
".chuk" -"[email protected]" - https://www.virustotal.com/gui/file/71a572f20fe05f5b3cd848c8c8407231428f4e67ddf62fe7d30558946228897f/detection
+
".lina" -"[email protected]" - https://www.virustotal.com/gui/file/56110a6d5280e08db85c0a8037608bcf9ccc7331b25825b5b79d6e7b8458b7a5/detection
+
Marcelo Rivero:
'.AHP' - '[email protected]' - https://www.virustotal.com/gui/file/5560b7207f4864f73e4331e934d86a381d77a8848e2a7d22bf45e73ab2aa81b5/detection
+
Jakub Kroustek:
'.TEREN' - '[email protected]' - https://virustotal.com/gui/file/da4a0344c6863c75928fd68529444dee0f7ae27bbf28ea3f7a795af5c83cfda3/ #CrySiS #Dharma #ransomware
+
".cve" - "[email protected]"
virusinfo.info:
https://virusinfo.info/showthread.php?t=225669
+
Michael Gillespie
".WSHLP" spotted on ID Ransomware #Dharma #Ransomware
на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:
JakubKroustek:
'.fresh' - '[email protected]' - https://virustotal.com/gui/file/00ce72bb6fb1d2c1d32aa4c4a147e1b9b390cf9d3ae8b5c0cab2718118db4430/
+
'.FLYU' - '[email protected]' - https://virustotal.com/gui/file/b565c8e1e81796db13409f37e4bd28877272b5e54ab5c0a3d9b6a024e7f5a039/ #CrySiS
+
'.gtsc' - '[email protected]' - https://virustotal.com/gui/file/629302ede09446efc6c44bea6fb9d4c62354816e227f61868528b6af43eeee94/ #CrySiS
+
'.dme' - '[email protected]' - https://virustotal.com/gui/file/e4a43f0bb8216496b95826c2c1aeb2f3ece6a7d87a8dbc7a0cc6a3935ace3d90/
+
'.Crypt' - '[email protected]' - https://virustotal.com/gui/file/d34b9ea7116f13023f069e47bc6ac8d0c52e8a2f4f13c94314abb08fc24f6352/
+
'.259' - '[email protected]' - https://virustotal.com/gui/file/23651e9b7cdde798baa8a43eed6bc719c9e4cb4adecef349294b405cab1df9e9/
+
'.LCK' - '[email protected]' - https://virustotal.com/gui/file/7deeb2de11d1dd9d3b349435adbd3c96afc5f6dd5972be38c0656bd3966c0809/
+
'.kut' - '[email protected]' - https://virustotal.com/gui/file/08c3e05531e5446b7740ce8284fa2e94add8b2fda5dc6628f8a6e10cac564674/
+
".SWP" -"[email protected]"
https://forum.kasperskyclub.ru/topic/76768-zashifrovany-fajly-rasshirenie-id-7cf7f7a4eusatutaioswp/
+
JakubKroustek:
'.zimba' - '[email protected]' - https://virustotal.com/gui/file/3510d5d19ef6c6232de909323ec4db8ff5d1a559f8134bc12c51eadb959faf65/
+
'.help' - '[email protected]' - https://virustotal.com/gui/file/7d92101ad2a58053299f1147f9ac494face23e41c354bf8097eafc5eaa167e93/
+
'.sss' - '[email protected]' - https://virustotal.com/gui/file/f12d033883d1077b25a9e36d36921b39e758f211e4d3b0fe92b2d32bc0b84ba6/
+
'.dex' - '[email protected]' - https://virustotal.com/gui/file/e181fb2c45e278661fbbf3fe9b4878e3d7bcee0873d7e1132e3808f10d3e4875/
+
'.ZIN' - '[email protected]' - https://virustotal.com/gui/file/5c40efc5d62c055eba9a2679d660d3cd4315358a63c396f3baecc27da1eed363/
+
'.SUKA' - '[email protected]' - https://virustotal.com/gui/file/c6a68b146d7adda7ff1cd04166c19339de8b5767f589559e38429d86837dda11/
+
'.msf' - '[email protected]' -https://virustotal.com/gui/file/5ad5ffcbd61457b40318264262d0f5c4cebf00c20307a6a72dc9d26e73645f5c/
+
'.lock' - '[email protected]' -https://virustotal.com/gui/file/b524398df66d04ac28e7461e7c7ff97c6d69343d13d7f3fdd11e26729813ae5c/
+
'.gac' - '[email protected]' - https://virustotal.com/gui/file/620fb72aa352c93407afeea6f5f86e40b786c5b810782ebf244162c72becba47/
+
'.21btc' - '[email protected]' - https://virustotal.com/gui/file/b3488f0c94f66eb54e10c211e4d3d3dbca567ddee11a3ab84e4cd1956282e390/
+
'.mpr' - '[email protected]' - https://virustotal.com/gui/file/2439d92480542c8d0a75fed9fbc4417f88ef5a79dd81ae5760a3ed55b3b08175/
+
'.4help' - '[email protected]' - https://virustotal.com/gui/file/eaa04bc9238eb52c3540e896dfbe347d21ff169834012b1709f676cc77849db3/
на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:
группировка Maze прекращает свою деятельность после того, как стала одним из самых известных игроков, осуществляющих атаки с использованием программ-вымогателей.
Maze Ransomware начал работать в мае 2019 года, но активизировалась в ноябре.
Именно тогда операция, ориентированная на средства массовой информации, произвела новый подход в атаках программ-вымогателей, применив тактику двойного вымогательства.
Сначала они крадут ваши файлы, а затем шифруют их
Хотя программы-вымогатели всегда дразнили новостные сайты и исследователей, по большей части они, как правило, игнорировали электронные письма журналистов.
Это изменилось в ноябре 2019 года, когда Maze связался с BleepingComputer, чтобы сообщить нам, что они украли незашифрованные данные для Allied Universal перед их шифрованием.
Maze заявил, что, если Allied не заплатит выкуп, их данные будут обнародованы. В конечном итоге выкуп не был уплачен, и Maze опубликовал украденные данные.
Вскоре после этого Maze запустили сайт «Maze News», который они используют для публикации данных о неоплачиваемых жертвах и выпуска «пресс-релизов» для журналистов, которые следят за их деятельностью.
Этот метод двойного вымогательства был быстро принят другими крупными операциями с программами-вымогателями, включая REvil, Clop, DoppelPaymer, которые выпустили свои собственные сайты утечки данных. Этот метод двойного вымогательства теперь стал стандартной тактикой, используемой почти во всех операциях с программами-вымогателями.
Maze продолжал развивать операции с программами-вымогателями, создав картель вымогателей с Ragnar Locker и LockBit для обмена информацией и тактиками.
В течение полутора лет киберпреступности Maze несет ответственность за атаки на известных жертв, включая Southwire, City of Pensacola, Canon, LG Electronics, Xerox и многих других.
Maze начал отключаться шесть недель назад
В начале прошлого месяца начали приходить сведения о том, что Maze готовится завершить работу программы-вымогателя точно так же, как это сделал GandCrab в 2019 году.
Когда BleepingComputer связался с Maze, чтобы подтвердить, выключаются ли они, нам сказали: «Вам следует дождаться пресс-релиза».
На этой неделе Maze начал удалять жертв, которые они указали на своем сайте утечки данных. Все, что осталось на сайте, - это две жертвы и те, кто ранее и опубликовал все свои данные.
Очистка места утечки данных указывает на неизбежное завершение работы программы-вымогателя.
BleepingComputer обратился к Maze, чтобы спросить, предоставят ли они свои ключи, когда завершат работу, но не получили ответа.
https://www.bleepingcomputer.com/news/security/maze-ransomware-is-shutting-down-its-cybercrime-operation/
Печально известная группа Maze объявила сегодня, что они официально закрыли свои операции с программами-вымогателями и больше не будут сливать данные новых компаний на своем сайте.
Сегодня Maze выпустил пресс-релиз под названием «Проект закрыт», в котором говорится, что они закрыты, а любая другая операция вымогателя, использующая его название, является мошенничеством.
"Проект Maze Team объявляет о своем официальном закрытии.
Все ссылки на наш проект, использование нашего бренда, наши методы работы следует рассматривать как мошенничество.
У нас никогда не было партнеров или официальных преемников. Наши специалисты не работают ни с каким другим программным обеспечением. Никто и никогда не сможет принимать новых партнеров на нашем новостном сайте. Картеля Maze Ransimware не было и не существует. Это можно найти только в головах журналистов, которые об этом писали».
https://www.bleepingcomputer.com/news/security/maze-ransomware-shuts-down-operations-denies-creating-cartel/
После годичного отпуска троян Gootkit, ворующий информацию, вернулся к жизни вместе с REvil Ransomware в новой кампании, нацеленной на Германию.
Троянец Gootkit - это вредоносное ПО на основе Javascript, которое выполняет различные вредоносные действия, включая удаленный доступ для злоумышленников, захват нажатия клавиш, запись видео, кражу электронной почты, кражу паролей и возможность внедрять вредоносные сценарии для кражи учетных данных онлайн-банкинга.
В прошлом году злоумышленники Gootkit пострадали от утечки данных после того, как оставили базу данных MongoDB открытой в Интернете. После этого нарушения считалось, что актеры Gootkit прекратили свою деятельность, пока они внезапно не ожили в начале этого месяца.
На прошлой неделе исследователь безопасности, известный как The Analyst, сообщил BleepingComputer, что вредоносное ПО Gootkit снова появилось в ходе атак, направленных на Германию.
В этой новой вредоносной кампании злоумышленники взламывают сайты WordPress и используют SEO-отравление, чтобы показывать посетителям фальшивые сообщения на форуме. Эти сообщения выдают себя за вопросы и ответы со ссылкой на поддельные формы или загрузки.
Когда пользователь нажимает на ссылку, он загружает ZIP-файл, содержащий обфусцированный JS-файл, который устанавливает либо вредоносную программу Gootkit, либо программу-вымогатель REvil.
Этот же метод распространения ранее использовался REvil в сентябре 2019 года, примерно в то же время, когда исчез Gootkit.
Gootkit и REvil установлены в бесфайловых атаках
В новом отчете, опубликованном сегодня, исследователи Malwarebytes объясняют, что вредоносные полезные нагрузки JavaScript будут выполнять безфайловые атаки Gootkit или REvil.
При запуске сценарий JavaScript подключается к своему серверу управления и контроля и загружает другой сценарий, содержащий вредоносные вредоносные программы.
Согласно анализу Malwarebytes, этой полезной нагрузкой обычно является Gootkit, но в некоторых случаях это также была программа-вымогатель REvil.
"После преобразования в ASCII открывается следующий код JavaScript, и код выполняется. Этот код JavaScript поставляется со встроенной полезной нагрузкой PE, которая может быть либо загрузчиком для Gootkit, либо для программы-вымогателя REvil. Существуют также некоторые различия в используемом алгоритме чтобы деобфускировать его », - говорится в сообщении Malwarebytes.
В конечном итоге загрузчик прочитает полезные данные реестра или текстового файла, расшифрует их и безфайлово запустит процесс прямо в память.
Использование обфусцированных полезных данных и их разбиение на части, хранящиеся в реестре, затрудняет обнаружение вредоносных полезных данных программным обеспечением безопасности.
"Злоумышленники, стоящие за этой кампанией, используют очень умный загрузчик, который выполняет ряд шагов, чтобы избежать обнаружения. Учитывая, что полезная нагрузка хранится в реестре под ключом с произвольным названием, многие продукты безопасности не смогут обнаруживать и удалять это ", - поясняет Malwarebytes.
https://www.bleepingcomputer.com/news/security/gootkit-malware-returns-to-life-alongside-revil-ransomware/
'.aol' - '[email protected]' - https://virustotal.com/gui/file/8264bb059dfe989ae1390c7a433e4e33abb42b04bab614a7fe3d83de085fcacb/
+
'.14x' - '[email protected]' - https://virustotal.com/gui/file/ceeebc607039d96fd8dea033f23e9323190c60c9aecd9fe2b93f82979af1fc57/
+
'.hub' - '[email protected]' - https://virustotal.com/gui/file/0e9189e931a9dddb64c3bea533e3e288c9ab30690568d4ee99ef2fcabc9e646f/
H-A:
".yoAD" - "[email protected]" - https://www.virustotal.com/gui/file/af6fbd5a5ae9d9ce415d39a62535eb4bd042598bfdc788da6263cbdd251ac679/
https://app.any.run/tasks/5fa6bd40-8659-4aca-b4e7-7f5b8265faf5
+
Jakub Kroustek:
'.dis' - '[email protected]' - https://virustotal.com/gui/file/4ddaaf03b683576f9faca0464cd9bff501b07ba3d180b5b32814aa22300c20b5/
+
Ravi:
.NOV - [email protected] or [email protected]
https://www.hybrid-analysis.com/sample/5997f7c46d8860cb07a00edf9e093e21a2416cc508c51dbd3838628d9b46b0d5/6013a593842bc8228016b31b
https://app.any.run/tasks/b4d5c668-47d9-430d-b233-257bf1bfa9de/
+
Jakub Kroustek:
'.Avaad' - '[email protected]' - https://virustotal.com/gui/file/272a93b943f94b6656fe8d3f16646bdaf8bdb301497e04db1bded4a6d146b871/
+
'.crypt' - '[email protected]' - https://virustotal.com/gui/file/36e14e6f35893002bb9b514253986cb8b7bd3e6d7efb1ea30de22b18421dd5cf/
+
'.22btc' - '[email protected]' - https://virustotal.com/gui/file/041c0767f3f769561d9cd6de5151f231094cd5cb95f04becb677e46590d23c89/
+
'.TomLe' - '[email protected]' - https://virustotal.com/gui/file/875ab9bab59806cbd216b94b42cad05f7343a70e4883b6cc80948537207ae96c/
+
'.word' - '[email protected]' - https://virustotal.com/gui/file/05e21cb43473e8c0ce34e6cbfb3da902888f562d6921b7e4d57d589361fc7a4c/
+
'.con30' - '[email protected]' - https://virustotal.com/gui/file/1985484e3902f29e40871adb7f0970e68fff9254c44f22ff5cefcc1ea030b758/
+
'.text' - '[email protected]' - https://virustotal.com/gui/file/fd7a7c5664c7836f239257d504c36580c7ce75533951f54f0bfa16d44518191b/
+
'.LOTUS' - '[email protected]' - https://virustotal.com/gui/file/d4d34d3ae57d26d04ff437c8897d74b247c0252b43d34374ce3b6552c3c50c02/
+
'.wcg' - '[email protected]' - https://virustotal.com/gui/file/429fa16efd3525859da4f6792a7d74ffe68826591156ab455107c18bdfdc54ad/
+
'.pauq' - '[email protected]' - https://virustotal.com/gui/file/6260cf0e2317cfcaf9ab0c6ed6913251aeff3af02b3ed3356dba2ce2e2db0199/ +
'.four' - '[email protected]' - https://virustotal.com/gui/file/ad56cf92755de3fe4c83433d58b79d7bc07b5cc220bf500b5908f8c95371512c/
+
Emmanuel_ADC-Soft:
".urs" - [email protected] +
Jakub Kroustek:
'.clman' - '[email protected]' - https://virustotal.com/gui/file/0175e102627ce11acf807d3bf932e39f864174031f4b71aec5680709b30f6936/
+
'.ORAL' - '[email protected]' - https://virustotal.com/gui/file/5292a4231e251aace624c3770f65850e5d639153ce0baae644dbaf8e685ff5ae/
на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:
Федеральное бюро расследований США (ФБР) разослало компании частного сектора с предупреждением о том, что деятельность программы-вымогателя Egregor активно атакует и вымогает у компаний по всему миру.
ФБР сообщает в сообщении TLP: WHITE Private Industry Notification (PIN), опубликованном в среду, что Egregor утверждает, что уже нанес удар и скомпрометировал более 150 жертв с тех пор, как агентство впервые обнаружило эту вредоносную деятельность в сентябре 2020 года.
«Из-за большого количества участников, задействованных в развертывании Egregor, тактика, методы и процедуры, используемые при его развертывании, могут сильно различаться, создавая серьезные проблемы для защиты и смягчения последствий», - заявляет служба разведки и безопасности США.
«Программа-вымогатель Egregor использует несколько механизмов для взлома бизнес-сетей, включая нацеливание на бизнес-сеть и личные учетные записи сотрудников, которые имеют общий доступ к бизнес-сетям или устройствам».
Фишинговые электронные письма с вредоносными вложениями и небезопасным протоколом удаленного рабочего стола (RDP) или виртуальными частными сетями являются одними из векторов атак, используемых участниками Egregor для получения доступа и горизонтального перемещения внутри сетей своих жертв.
Egregor использует Cobalt Strike, Qakbot / Qbot, Advanced IP Scanner и AdFind для повышения привилегий и бокового перемещения сети.
Филиалы также используют 7zip и Rclone, иногда замаскированные под процесс Service Host Process (svchost), для кражи данных перед развертыванием полезной нагрузки вымогателя в сети жертв.
ФБР также поделилось списком рекомендуемых мер по смягчению последствий, которые должны помочь защитить от атак Эгрегора:
Работа RaaS с бывшими филиалами Maze в качестве партнеров
Egregor - это программа-вымогатель как услуга, которая сотрудничает с аффилированными лицами, которые взламывают сети для развертывания полезных нагрузок вымогателей, распределяя доходы от выкупа с операторами Egregor с использованием разделения 70/30.
После проникновения в сети жертв они также крадут файлы перед шифрованием устройств и используют их в качестве рычага воздействия под угрозой публичной утечки украденных данных, если выкуп не будет уплачен.
Egregor начал работать после того, как Maze закрыл свою работу, и многие из филиалов Maze сразу же переключились на RaaS Egregor, как сообщили BleepingComputer злоумышленники.
С сентября аффилированные лица Egregor взламывают и зашифровывают системы нескольких известных организаций, включая, помимо прочего, Ubisoft, Kmart, Randstad, Barnes and Noble, Cencosud, Crytek и транспортное агентство TransLink Metro Vancouver.
https://www.bleepingcomputer.com/news/security/fbi-warns-of-egregor-ransomware-extorting-businesses-worldwide/
В 2020 году наблюдались три волны спама, исходящие от TA505: они начались в январе / феврале, затем последовали более длительный период летом с июня по сентябрь и очень короткий период в начале декабря. За месяцы отсутствия спама они добавляли все больше и больше жертв на свой портал вымогателей «CL0P ^ -LEAKS».
Первый период активности
Первый период рассылки спама начался 02.06.2020 и закончился 11.09.2020. В течение этого периода TA505 рассылал фишинговые письма почти каждый рабочий день, чтобы закрепиться во многих сетях. Впоследствии они будут отфильтровывать интересные корпоративные сети, а затем продвигать свое вторжение, двигаясь в боковом направлении.
Дата окончания наблюдаемой спамерской активности особенно интересна в связи с объявлением Secura. 11 сентября 2020 года, что было пятницей и, следовательно, последним днем обычной недели спама TA505, Secura объявила об уязвимости Zerologon. Это только предположение, почему TA505 не продолжил рассылку спама в следующий понедельник: либо публикация Zerologon резко прекратила их рассылку, либо они воспользовались возможностью быстро продвинуться в отдельных сетях.
В сентябре и октябре 2020 года CL0P удалось развернуть программу-вымогатель на нескольких жертвах. Наблюдаемые случаи в основном имели место в пятницу и субботу.
Второй период активности
В середине декабря 2020 года TA505 вернулся менее чем за две недели спама, что могло поставить под угрозу возможные сети жертв для развертывания CL0P во время рождественских праздников 2020 года. Еще одним мотивом может быть получение доступа к новым сетям жертв, чтобы возобновить работу в январе / Февраль 2021 г.
Программа-вымогатель CL0P
CL0P - это программа-вымогатель, которая развертывается после первоначального вторжения TA505. Каждый образец CL0P уникален для жертвы. Во-первых, он содержит 1024-битный открытый ключ RSA, используемый для шифрования данных. Во-вторых, он содержит персональную записку о выкупе.
Программа-вымогатель написана на C ++ и разработана в Visual Studio 2015 (14.0). Размер неупакованного образца составляет от 100 до 200 КБ. CL0P переименовывает зашифрованные файлы и добавляет окончание файла либо «.Cllp», либо «.CI0p».
Программа-вымогатель содержит 1024-битный открытый ключ RSA, уникальный для каждой жертвы. Хотя 1024-битные ключи RSA устарели, до факторизации 1024-битных ключей еще далеко. По состоянию на январь 2021 года самый крупный публично известный ключ RSA, который был разложен в рамках RSA Factoring Challenge, имел 829 бит.
есть хорошее описание функциональности CL0P от S2W LAB.
портал утечек CL0P
CL0P - одна из кибергрупп вымогателей, которая применила метод двойного вымогательства. Прежде чем развернуть программу-вымогатель, они извлекают до терабайта конфиденциальных данных из сети жертвы. В случае, если жертва правильно настроила резервное копирование и не желает платить выкуп, она все равно может пригрозить опубликовать эти данные на своем портале утечек «CL0P ^ -LEAKS». Портал перечисляет 19 жертв в январе 2021 года. Большинство из них проживают в Германии. Портал утечек размещен в сети TOR
Заключение
CL0P была одной из самых активных операций по атакам шифровальщиков в 2020 году. Им удалось взломать несколько крупных предприятий. Их вторжения связаны с TA505. Очевидно, что эти вторжения продолжатся с той же скоростью и частотой в 2021 году.
Образцы CL0P содержат персонализированные записки о выкупе, в которых упоминается жертва и раскрываются важные детали переговорного процесса. Операторы CL0P предлагают собственный портал для переговоров, в том числе службу поддержки через чат.
В случаях, когда жертвы не платят выкуп, они загружают большие объемы конфиденциальных данных на свой портал «CL0P ^ -LEAKS». На момент написания они продолжают хранить эти данные там, в некоторых случаях более девяти месяцев.
операторы CL0P имеют доступ к исходному коду CL0P. Они способны компилировать и быстро исправлять в нем проблемы во время текущего развертывания. Это подчеркивает предположение о том, что эта кибергруппа представляет собой закрытую группу людей, которые совместно используют общие ресурсы и работают в тесном сотрудничестве.
https://www.telekom.com/en/blog/group/article/inside-of-cl0p-s-ransomware-operation-615824
Реклама программ-вымогателей Buran
Об этой программе-вымогателе было объявлено на известном форуме следующим сообщением:
Исследователи опрделили, что Buran был доставлен через Rig Exploit Kit. Важно отметить, что Rig Exploit Kit является предпочтительным EK, используемым для доставки последних кампаний вымогателей.
Rig Exploit Kit использовал CVE-2018-8174 (Microsoft Internet Explorer VBScript Engine, выполнение произвольного кода) для использования на стороне клиента. После успешной эксплуатации эта уязвимость доставит в систему вымогатель Buran.
VegaLocker, Jumper и теперь Buran Ransomware
Buran - это эволюция программы-вымогателя Jumper. VegaLocker является источником этого семейства вредоносных программ.
Авторы вредоносных программ развивают свой вредоносный код, чтобы улучшить его и сделать более профессиональным. Попытка скрытно сбить с толку исследователей безопасности и AV-компании может быть одной из причин смены названия между версиями.
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/buran-ransomware-the-evolution-of-vegalocker/
https://app.any.run/tasks/2062e9ba-79f0-4e7b-ac68-de306001eebe/
Поскольку компании обычно используют смешанную среду серверов Windows и Linux, операторы вымогателей все чаще начинают создавать версии своих вредоносных программ для Linux, чтобы обеспечить шифрование всех критических данных.
В сегодняшнем новом отчете «Лаборатории Касперского» рассматривается версия вымогателя RansomExx для Linux, также известного как Defray777.
На этой неделе RansomExx привлекает большое внимание из-за продолжающихся атак на правительственные сети Бразилии и предыдущих атак на Министерство транспорта Техаса (TxDOT), Konica Minolta, IPG Photonics и Tyler Technologies.
Версия RansomExx для Linux
По словам Касперского, при нацеливании на серверы Linux операторы RansomExx развернут исполняемый файл ELF с именем svc-new, используемый для шифрования сервера жертвы.
«После первоначального анализа мы заметили сходство в коде троянца, тексте заметок о выкупе и общем подходе к вымогательству, из которого можно предположить, что на самом деле мы столкнулись с Linux-сборкой ранее известного семейства вымогателей RansomEXX», - говорят исследователи «Лаборатории Касперского». говорится в их отчете.
В исполняемый файл Linux встроены публичный ключ шифрования RSA-4096, записка о выкупе и расширение, названное в честь клиента, которое будет добавлено ко всем зашифрованным файлам.
В отличие от версии для Windows, Kaspersky заявляет, что версия для Linux - это программа-вымогатель без излишеств. Он не содержит кода для завершения процессов, включая программное обеспечение безопасности, не стирает свободное пространство, как это делает версия для Windows, и не взаимодействует с сервером управления и контроля.
Если жертва заплатит выкуп, она получит дешифратор как для Linux, так и для Windows с соответствующим закрытым ключом RSA-4096 и зашифрованным расширением файла, встроенным в исполняемый файл.
Версия для Linux называется decryptor64 и представляет собой дешифратор, управляемый из командной строки
Фабиан Восар, технический директор компании Emsisoft, занимающейся кибербезопасностью, сказал BleepingComputer, что впервые увидел, что RansomExx использует версию Linux для атак в июле 2020 года, но, возможно, использовался и раньше.
RansomExx - не первая программа-вымогатель, создавшая версии для Linux. В прошлом Pysa (Menispoza), Snatch и PureLocker также распространяли варианты Linux.
https://www.bleepingcomputer.com/news/security/ransomexx-ransomware-also-encrypts-linux-systems/
Сообщается, что совместная операция правоохранительных органов Франции и Украины привела к аресту нескольких участников операции по вымогательству Egregor в Украине.
Как сначала сообщил France Inter, во вторник правоохранительные органы произвели аресты после того, как французские власти смогли отследить выплаты выкупа лицам, находящимся в Украине.
Считается, что арестованные являются филиалами Egregor, чьей задачей было взломать корпоративные сети и развернуть программы-вымогатели. France Inter также сообщает, что некоторые люди оказали материально-техническую и финансовую поддержку.
Взлет и падение Эгрегора
Egregor работает как программа-вымогатель как услуга (RaaS), где аффилированные лица вступают в партнерские отношения с разработчиками программ-вымогателей для проведения атак и разделения выкупа.
В таких партнерствах разработчики программ-вымогателей несут ответственность за разработку вредоносного ПО и запуск платежного сайта. В то же время филиалы несут ответственность за взлом сетей жертв и развертывание программ-вымогателей.
Egregor запустился в середине сентября, когда одна из крупнейших групп, известная как Maze, начала сворачивать свою деятельность.
В то время злоумышленники сообщили BleepingComputer, что филиалы Maze перешли на Egregor RaaS, что позволило запустить новую операцию вымогателей с помощью опытных и квалифицированных хакеров.
В ноябре кибергруппа объединилась с вредоносным ПО Qbot, чтобы получить доступ к сетям жертв, что еще больше увеличило объем атак.
https://www.bleepingcomputer.com/news/security/egregor-ransomware-members-arrested-by-ukrainian-french-police/
Jakub Kroustek:
'.Jessy' - '[email protected]' - https://virustotal.com/gui/file/502a7c8c8e301c27097693d79405206f694262c06473609818e05c67471e5c6e/
+
'.ROG' - '[email protected]' - https://virustotal.com/gui/file/21de565f35a501b29a9312c059b30353ede489100913f434ab3bbf1f528f6596/
+
'.biden' - '[email protected]' - https://virustotal.com/gui/file/e3ed533612d8066345c6fe7831a4db770ba3a2c5833bad0f27abe545eefaceb8/
+
'.eofyd' - '[email protected]' - https://virustotal.com/gui/file/1c52c3f5ddda1e19ea6b5925a1c76cf123b679617b3597d65008ebacd6b2a3ad/
+
'.duk' - '[email protected]' - https://virustotal.com/gui/file/f50e38e75344239713aaa3923cb1b2f8661bbc4304d3f18f37eb3ca6bff79309/
+
'.LAO' - '[email protected]' - https://virustotal.com/gui/file/e263d0ffa9dc8812d07a560f5a5669a60ebec2529cfeec05e30b559312f94305/
+
'.pirat' - '[email protected]' - https://virustotal.com/gui/file/e9b6e06f83f7f0041a66270a579de3bbf6933316d1737d165510587d08349879/
+
'.liz' - '[email protected]' - https://virustotal.com/gui/file/64a4dcc43f702307113bc9170396b095ad52cae40b31a02fff0548d5b51c85b7/
+
'.bqd2' - '[email protected]' - https://virustotal.com/gui/file/a09b8c4897f54df66c352ba4d7c1a58ce17619bc616ebe2edbc0c4d826620aed/
+
'.4o4' - '[email protected]' - https://virustotal.com/gui/file/df90f27751985b5ae75d7dcd9bbd7a9d6ce65327940511205b4ce19ff2d25280/
+
'.ctpl' - '[email protected]' - https://virustotal.com/gui/file/8918748a5dd3c80a84740cc2f81f4ea3a55614182a0b5fd9e157dbdd9b04e2e4/
+
xiaopao:
ext:error --mail:[email protected]
md5:b868c8e4eec4f53602de1a2caa517bdb
+
ext:.zphs -- mail:[email protected]
MD5:7daf9cbaab744b12de815f9530885a35
+
Jakub Kroustek:
'.2122' - '[email protected]' - https://virustotal.com/gui/file/310b2c973ee972b8fe0484b5211cb95a208d22edf1563ad4a0f3b8c08d300a5a/
+
'.HPJ' - '[email protected]' - https://virustotal.com/gui/file/882e6507516a3546154ac27a57dff2ca544b7b1f97eeeff35a121a8b4a14b996/
+
'.bdev' - '[email protected]' - https://virustotal.com/gui/file/659fa8b4306fdfba9247bd3ad458a06f61925c302f68bee3a68f1977cac579d7/
+
".eye" - "[email protected]"
'.eye' - '[email protected]' - https://virustotal.com/gui/file/60c17e1b9ac86054237c92919df589074bec4f80cd6b2b71d28482f7db3349ba/ +
'.root' - '[email protected]' - https://virustotal.com/gui/file/54815ed57e4dcf41776f228fa4c1058f45d6eb77cc327d2cc39742d674344524/
+
'.rdp' - '[email protected]' - https://virustotal.com/gui/file/d13c712deac973ddd3666c02b76e8c0f2f5a4291078b579e231cdb8f5554efb2/
+
dnwls0719:
'.DELTA' - '[email protected]' - https://virustotal.com/gui/file/3ed05c9b2bec17e067eae1a52f65d2e06232e77c754d0608d39408482a38ff9f/detection
на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:
Операция вымогателей REvil объявила на этой неделе, что они используют DDoS-атаки и голосовые звонки журналистам и бизнес-партнерам жертвы для получения выкупа.
Операция вымогателя REvil, также известная как Sodinokibi, представляет собой программу-вымогатель как услугу (RaaS), в которой операторы вымогателей разрабатывают вредоносные программы и сайт платежей, а филиалы (рекламные объявления) компрометируют корпоративные сети для развертывания вымогателя.
В рамках этой сделки разработчики REvil зарабатывают от 20 до 30% выкупа, а аффилированные лица вносят оставшиеся 70-80%.
Чтобы вынудить жертв заплатить выкуп, группы вымогателей все чаще прибегают к тактике двойного вымогательства, когда злоумышленники крадут незашифрованные файлы, которые они угрожают выпустить, если выкуп не будет уплачен.
Теперь с использованием VOIP-звонков и DDoS-атак
В феврале группа REvil опубликовала объявление о вакансии, в котором они хотели набрать людей для выполнения DDoS-атак и использования вызовов VOIP для связи с жертвами и их партнерами.
Сегодня исследователь безопасности, известный как 3xp0rt, обнаружил, что REvil объявила о внедрении новой тактики, которую филиалы могут использовать для оказания еще большего давления на жертв.
Эта новая тактика включает в себя бесплатную услугу, при которой злоумышленники или аффилированные партнеры будут выполнять голосовые вызовы VOIP в СМИ и бизнес-партнерам жертвы с информацией об атаке.
Группа программ-вымогателей, вероятно, исходит из того, что предупреждение предприятий о том, что их данные могли быть раскрыты в результате атаки на их партнеров, создаст дополнительное давление на жертву, заставляющую платить.
REvil также предоставляет платную услугу, которая позволяет аффилированным лицам выполнять DDoS-атаки уровня 3 и уровня 7 против компании для максимального давления.
Атака уровня 3 обычно используется для отключения интернет-соединения компании. Напротив, злоумышленники будут использовать атаку уровня 7 для отключения общедоступного приложения, такого как веб-сервер.
В октябре мы сообщили, что вымогатели SunCrypt и Ragnar Locker начали использовать DDoS-атаки против жертв, чтобы заставить их заплатить. В январе 2021 года группа вымогателей Avaddon также начала использовать эту тактику.
https://www.bleepingcomputer.com/news/security/ransomware-gang-plans-to-call-victims-business-partners-about-attacks/
Злоумышленники теперь устанавливают новую программу-вымогатель под названием DEARCRY после взлома серверов Microsoft Exchange с использованием недавно обнаруженных уязвимостей ProxyLogon.
Поскольку ранее в этом месяце Microsoft сообщила, что злоумышленники скомпрометировали серверы Microsoft Exchange с помощью новых уязвимостей нулевого дня ProxyLogon, серьезную озабоченность вызывает тот факт, что злоумышленники будут использовать его для развертывания программ-вымогателей.
К сожалению, сегодня наши опасения стали реальностью, и злоумышленники используют уязвимости для установки программы-вымогателя DearCry.
Программа-вымогатель DearCry
По словам Майкла Гиллеспи, создателя сайта идентификации программ-вымогателей ID-Ransomware, начиная с 9 марта пользователи начали отправлять в его систему новое уведомление о выкупе и зашифрованные файлы.
Изучив представленные материалы, Гиллеспи обнаружил, что пользователи отправляли почти все из них с серверов Microsoft Exchange.
9 марта жертва также создала тему на форумах BleepingComputer, в которой они заявили, что их сервер Microsoft Exchange был скомпрометирован с использованием уязвимостей ProxyLogon, при этом полезной нагрузкой является программа-вымогатель DearCry.
После публикации нашей истории Microsoft подтвердила, что программа-вымогатель DearCry установлена в ходе управляемой человеком атаки на серверы Microsoft Exchange с использованием уязвимостей ProxyLogon.
https://www.bleepingcomputer.com/news/security/ransomware-now-attacks-microsoft-exchange-servers-with-proxylogon-exploits/
С 2019 года кибергруппы Ransomware слили украденные данные 2103 компаний на сайты утечки данных в dark web.
Когда в 2013 году начались операции с современными программами-вымогателями, целью злоумышленника было зашифровать как можно больше компаний, а затем потребовать выкуп за дешифратор.
С начала 2020 года операции с программами-вымогателями начали использовать новую тактику - двойное вымогательство.
Двойное вымогательство - это когда программа-вымогатель крадет незашифрованные файлы перед шифрованием сети. Затем злоумышленники угрожают публично опубликовать украденные файлы на сайтах утечки данных в темной сети, если не будет уплачен выкуп.
Между угрозой невозврата зашифрованных файлов и дополнительными опасениями, связанными с утечкой данных, государственными штрафами и судебными исками, злоумышленники полагаются на идею, что это заставит жертв с большей готовностью платить выкуп.
34 группы вымогателей которые сливают данные в dark web
Исследователь безопасности по dark web, известный как DarkTracer, отслеживал сайты утечки данных для тридцати четырех групп и сообщил, что теперь они утекли данные по 2103 организациям.
34 группы программ-вымогателей, за которыми следил DarkTracer, - это Team Snatch, MAZE, Conti, NetWalker, DoppelPaymer, NEMTY, Nefilim, Sekhmet, Pysa, AKO, Sodinokibi (REvil), Ragnar_Locker, Suncrypt, DarkSide, CL0P, Ereggaddon, Lock. , Ranzy Locker, Pay2Key, Cuba, RansomEXX, Everest, Ragnarok, BABUK LOCKER, Astro Team, LV, File Leaks, Marketo, N3tw0rm, Lorenz, Noname и XING LOCKER.
Из этих тридцати четырех есть пять наиболее активных: Conti (338 утечек), Sodinokibi / REvil (222 утечки), DoppelPaymer (200 утечек), Avaddon (123 утечки) и Pysa (103 утечки).
Три группы, которые больше не активны и имеют больше утечек, чем некоторые из тех, что находятся в первой пятерке, - это Maze (266 утечек) и Egregor (206 утечек).
Данные для всех сайтов утечки данных банды вымогателей представлены на диаграмме ниже, созданной DarkTracer от 4 мая 2021 года.
Некоторые из перечисленных групп больше не действуют, например NetWalker, Sekhmet, Egregor, Maze, Team Snatch, или переименованы в новое название, например NEMTY и AKO.
https://www.bleepingcomputer.com/news/security/ransomware-gangs-have-leaked-the-stolen-data-of-2-100-companies-so-far/
В конце прошлой недели системы бизнес-сети Colonial Pipeline, крупнейшего поставщика топлива на восточном побережье США, были скомпрометированы из-за атаки программы-вымогателя, что вынудило компанию временно прекратить свою деятельность на время проведения расследования.
В понедельник утром по тихоокеанскому времени ФБР подтвердило, что виновником программы-вымогателя является DarkSide, довольно новый штамм, который начал делать себе имя примерно в середине-конце 2020 года. В этом посте мы рассмотрим вредоносное ПО и преступную группировку, которые, по мнению многих, базируются в Восточной Европе, стоящие за атакой Colonial Pipeline.
Профиль угрозы: программа-вымогатель DarkSide
DarkSide впервые был замечен в дикой природе в августе 2020 года и использовался APT-группой Carbon Spider, также известной как Carbanak и FIN7, в своих кампаниях по охоте на крупную дичь (BGH). Согласно профилю противника Crowdstrike в этой группе, она происходила из Российской Федерации и / или Украины. Начиная с 2013 года, Carbon Spider нацелился на учреждения на Ближнем Востоке, в Европе и, в конечном итоге, в Соединенных Штатах.
Программа-вымогатель DarkSide продается аффилированным лицам, использующим модель распространения «Программа-вымогатель как услуга» (RaaS), поэтому атаки осуществляются аффилированными лицами.
В настоящее время известны две версии DarkSide: DarkSide v1.0 и DarkSide v2.1. Последний имеет меньший вес по размеру файла (53 КБ против 59,5 КБ) и меньшее время дешифрования.
v2.1 имеет новую функцию «позвоните нам», которая позволяет филиалам программ-вымогателей проводить сеанс передачи голоса по IP (VoIP) с организациями-жертвами, их партнерами и даже журналистами. Считается, что они добавили эту функцию, чтобы оказать дополнительное давление на своих жертв.
DarkSide также имеет версию для Linux, которая способна атаковать уязвимости VMWare ESXi, делая виртуальные машины (ВМ) уязвимыми для взлома и шифрования виртуальных дисков.
Как и другие семейства программ-вымогателей Big Game Hunting, DarkSide управляется человеком. Это означает, что программа-вымогатель запускается реальным человеком за экраном после того, как он успешно проник в целевую сеть. Это позволяет злоумышленникам перемещаться вбок, обыскивая всю сеть, чтобы постоянно открывать лазейки для нескольких систем, пока они не получат административный доступ. Они используют эти учетные данные администратора для развертывания DarkSide.
Они также используют свое время в сети для сбора данных и загрузки на свои серверы, прежде чем они зашифруют копию жертвы.
После развертывания DarkSide начинает:
Шифрует все файлы, используя комбинацию Salsa20 и RSA-1024
Очищает корзину
Удаляет службы
Удаляет теневые копии
Завершает процессы
Шифрует локальные диски
Шифрует сетевые ресурсы
После того, как все данные были извлечены, злоумышленники размещают их на своем сайте утечки, DarkSide Leaks, вместе с другой соответствующей информацией об атаке, такой как название компании, дата взлома, объем украденных данных и т. Д. образцы скриншотов украденных данных и типы украденных данных.
Замечено, что программы-вымогатели DarkSide и REvil, также известные как Sodinokibi, имеют некоторые общие черты:
Их записки о выкупе, похоже, были составлены по одному и тому же шаблону.
Оба семейства программ-вымогателей используют Windows PowerShell для удаления теневых копий томов на скомпрометированных системах.
… И оба семейства также используют определенную строку кода PowerShell для выполнения этого действия.
DarkSide гарантирует, что жертвы почувствуют свое индивидуальное прикосновение, настроив записку с требованием выкупа и расширение файла для своих жертв. Например, контрольная сумма MAC-адреса жертвы используется в качестве имени расширения зашифрованных файлов, когда, как правило, программа-вымогатель просто использует свое собственное предопределенное расширение. (Например, программа-вымогатель HelloKitty использует .kitty.)
Отрывок записки о выкупе DarkSide воспроизводится ниже. Примечания о выкупе включают тип файлов, ссылку на личную страницу организации-жертвы утечки и инструкции о том, что жертвы могут делать.
[ Welcome to DarkSide 2.0]
>
What happend?
Your computers and servers are encrypted, backups are deleted. We use Strong encryption algorithms, so you cannot decrypt your data.
But you can restore everything by purchasing a special program from us - universal decryptor. This program will restore all your network.
Follow our instructions below and you will recover all your data.
Data leak
First of all we have uploaded more than full dump data.
These files include:
- finance
- private information
- partners documents
На сайте DarkSide Leaks есть раздел «Пресс-центр», где журналисты могут зарегистрироваться. В нем есть раздел, где «компании по восстановлению» - организации, которым не оставалось другого выбора, кроме как уступить требованию DarkSide о выкупе, - могут зарегистрироваться для получения дешифраторов, дополнительных «скидок» и иметь готовую линию в службу поддержки злоумышленников. Все это демонстрирует, насколько организованными могут быть операторы DarkSide.
Соломинка, которая сломала спину верблюда?
Атака DarkSide на Colonial Pipeline может оказаться той соломинкой, которая сломала спину верблюду. На прошлой неделе Белый дом провел экстренные заседания, чтобы рассмотреть уже подготовленный проект указа о кибербезопасности - возможно, чтобы усилить его после этой последней атаки, - который, как ожидается, будет выпущен в ближайшее время. До этого министерство юстиции США уже объявило о 120-дневном обзоре своего подхода к борьбе с киберугрозами, и в стратегическом плане Целевой группы по программам-вымогателям оно было рекомендовано рассматривать программы-вымогатели как угрозу национальной безопасности.
Вчера ФБР и Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) выпустили совместный совет по кибербезопасности (CSA) против программы-вымогателя DarkSide. Он содержит подробные инструкции по снижению риска, которым должен следовать бизнес, чтобы снизить риск успешных атак программ-вымогателей в целом. К ним относятся простые шаги, такие как:
Организации всех секторов должны учитывать эти передовые методы. Потому что до публикации этой статьи DarkSide, похоже, заручился еще одной жертвой.
https://blog.malwarebytes.com/ransomware/2021/05/threat-spotlight-darkside-the-ransomware-used-in-the-colonial-pipeline-attack/
Операции DarkSide прекратились после того, как злоумышленники потеряли доступ к серверам, а их криптовалюта была переведена в неизвестный кошелек.
Этой новостью поделился злоумышленник, известный как UNKN, публичный представитель конкурирующей группы REvil.
В этом посте Unkn поделился сообщением якобы от DarkSide, в котором объясняется, как злоумышленники потеряли доступ к своему публичному сайту утечки данных, серверам платежей и серверам CDN из-за действий правоохранительных органов.
«Сейчас эти серверы недоступны по SSH, хостинговые панели заблокированы. Поддержка хостинга, кроме информации« по запросу правоохранительных органов », не предоставляет никакой другой информации».
Со вчерашнего дня исследователи безопасности и журналисты отметили, что сайт утечки данных DarkSide больше не доступен, и предполагалось, что правоохранительные органы захватили сервер.
BleepingComputer подтвердил, что на момент написания этой статьи платежный сервер DarkSide Tor все еще работает. Если правоохранительные органы захватят сервер, они могли бы оставить его работающим, чтобы позволить жертвам получить доступ к своим дешифраторам.
DarkSide закрывает партнерскую программу
После того, как мы опубликовали нашу историю, Intel471 получил доступ к полному тексту сообщения, отправленного филиалам программы-вымогателя DarkSide как услуги.
Согласно этому сообщению, DarkSide решили закрыть свою деятельность «из-за давления со стороны США» и после потери доступа к своим публичным серверам.
Программа-вымогатель REvil добавляет новые ограничения
Исторически сложилось так, что банда вымогателей REvil не проявляла угрызений совести в отношении того, кого они атакуют.
Однако после того, как DarkSide объявил об уничтожении, REvil теперь начал вводить новые ограничения на то, кто может быть зашифрован.
Представитель REvil, UNKN, заявляет, что теперь филиалы должны сначала получить разрешение на таргетинг на организацию и что они больше не могут нацеливаться на следующие организации:
https://www.bleepingcomputer.com/news/security/darkside-ransomware-servers-reportedly-seized-operation-shuts-down/
Команда разработчиков Exploit, крупного форума по борьбе с киберпреступностью, используемого кибергруппами для найма партнеров и рекламы своих услуг Ransomware-as-a-Service (RaaS), объявила, что реклама программ-вымогателей теперь запрещена и будет удалена.
Этот шаг последовал за заявлением, сделанным вчера русскоязычным хакерским форумом XSS о том, что темы программ-вымогателей навсегда запрещены.
Exploit утверждает, что это решение было принято потому, что группы программ-вымогателей, атакующие цели без разбора, привлекают «большое внимание».
DarkSide прекратил работу RaaS
Exploit и XSS реагируют на усиление давления на группы RaaS, которые ранее использовали два форума, включая REvil, LockBit, DarkSide, Netwalker и Nefilim.
Это прямой результат того, что они оказались под прицелом правоохранительных органов после атаки программы-вымогателя DarkSide на Colonial Pipeline, которая нарушила работу топливопровода США.
Нападение было также рассмотрено в Белом доме на брифингах по национальной безопасности на этой неделе и вызвало региональное объявление чрезвычайного положения, затронувшее 17 штатов и округ Колумбия.
https://www.bleepingcomputer.com/news/security/ransomware-ads-now-also-banned-on-exploit-cybercrime-forum/
Разработчики Zeppelin возобновили свою деятельность после периода относительного молчания, начавшегося прошлой осенью, и начали рекламировать новые версии вредоносного ПО.
Недавний вариант вредоносного ПО стал доступен на хакерском форуме в конце прошлого месяца, предлагая киберпреступникам, занимающимся программами-вымогателями, полную независимость.
Новые версии в продаже
Программа-вымогатель Zeppelin также называется Buran и происходит от семейства Vega / VegaLocker, программы-вымогателя как услуги на базе Delphi (RaaS), которую в 2019 году наблюдали на русскоязычных хакерских форумах.
Однако разработчики штамма вымогателя Zeppelin продают его на подпольных форумах, позволяя покупателям решать, как они хотят использовать вредоносное ПО. У разработчиков также есть своего рода индивидуальные партнерские отношения с определенными пользователями их вредоносных программ.
Это контрастирует с классическими операциями RaaS, где разработчики обычно ищут партнеров для проникновения в сеть жертвы, для кражи данных и развертывания вредоносного ПО для шифрования файлов. Затем обе стороны разделили выплаченный выкуп, а разработчики получили меньшую часть (до 30%).
https://www.bleepingcomputer.com/news/security/zeppelin-ransomware-comes-back-to-life-with-updated-versions/
11 января антивирусная компания Bitdefender заявила, что «рада объявить» о поразительном прорыве. Он обнаружил уязвимость в программе-вымогателе, которую кибергруппа, известная как DarkSide, использовала для замораживания компьютерных сетей десятков предприятий в США и Европе. Компании, сталкивающиеся с требованиями DarkSide, могут загрузить бесплатный инструмент от Bitdefender и не платить хакерам миллионы долларов выкупа.
Но Bitdefender не был первым, кто обнаружил этот недостаток. Два других исследователя, Фабиан Восар и Майкл Гиллеспи, заметили это за месяц до этого и начали незаметно искать жертв, чтобы помочь. Публикуя свой инструмент, Bitdefender невольно предупредил DarkSide об ошибке, которая заключалась в повторном использовании одних и тех же цифровых ключей для блокировки и разблокировки нескольких жертв. На следующий день DarkSide заявила, что устранила проблему и что «новым компаниям не на что надеяться».
«Особая благодарность BitDefender за помощь в решении наших проблем», - сказал DarkSide. «Это сделает нас еще лучше».
DarkSide вскоре доказал, что это не блеф, и развязал серию атак. В этом месяце он парализовал Colonial Pipeline Co., вызвав остановку трубопровода протяженностью 5500 миль, по которому транспортируется 45% топлива, используемого на восточном побережье, за которым сразу же последовал рост цен на бензин, панические закупки газа на юго-востоке и и закрытие тысяч заправочных станций. В отсутствие объявления Bitdefender, вполне возможно, что кризис удалось сдержать и что Colonial могла незаметно восстановить свою систему с помощью инструмента дешифрования Wosar and Gillespie.
Восар сказал, что публичный выпуск инструментов, как это сделал Bitdefender, стал более рискованным, поскольку выросли выкупы, а кибергруппы стали богаче и технически подкованными.
Сегодня создатели программ-вымогателей «имеют доступ к реверс-инженерам и очень способным тестерам на проникновение», - сказал он. «Именно так они в первую очередь получают доступ к этим зачастую хорошо защищенным сетям. Они загружают дешифратор, разбирают его, реконструируют и точно выясняют, почему мы смогли расшифровать их файлы. И через 24 часа все исправлено. Bitdefender должен был знать лучше ».
Богдан Ботезату, директор по исследованию угроз Bitdefender в Бухаресте, Румыния, сказал, что компания не знала о ранее достигнутых успехах в разблокировке файлов, зараженных DarkSide.
Тем не менее, по его словам, Bitdefender решил опубликовать свой инструмент, «потому что большинство жертв, попадающих под действие программ-вымогателей, не имеют правильной связи с группами поддержки программ-вымогателей и не будут знать, куда обратиться за помощью, если они не узнают о существовании инструментов из средств массовой информации. отчеты или с помощью простого поиска ».
Bitdefender признал, что DarkSide может исправить ошибку, Ботезату сказал: «Мы хорошо знаем, что злоумышленники гибки и адаптируются к нашим дешифраторам». Но DarkSide все равно «заметила проблему». «Мы не верим в дешифраторы программ-вымогателей, которые доступны незаметно. Злоумышленники узнают об их существовании, выдав себя за домашних пользователей или нуждающихся компаний, в то время как подавляющее большинство жертв не подозревают, что они могут вернуть свои данные бесплатно ».
К разочарованию команды Восар обнаружил, что инструмент Bitdefender имеет свои недостатки. Используя дешифратор компании, он попытался разблокировать образцы, зараженные DarkSide, и обнаружил, что они были повреждены в процессе. «На самом деле они неправильно реализовали дешифрование, - сказал Восар. «Это означает, что если жертвы действительно использовали инструмент Bitdefender, велика вероятность, что они повредили данные».
https://www.technologyreview.com/2021/05/24/1025195/colonial-pipeline-ransomware-bitdefender/
p.s. поучительная история.
Федеральное бюро расследований официально заявило, что операция REvil, также известная как Sodinokibi, стоит за атакой вымогателей, нацеленной на JBS, крупнейшего в мире производителя мяса.
«Мы приписали атаку JBS REvil и Sodinokibi и прилагаем все усилия, чтобы привлечь к ответственности виновных», - говорится в заявлении ФБР о кибератаке JBS.
«Мы продолжаем сосредотачивать наши усилия на создании рисков и последствий и привлечении к ответственности ответственных киберпреступников».
Атаки программ-вымогателей участились за последний месяц, поскольку злоумышленники нацелены на критически важную инфраструктуру и службы.
В прошлом месяце операция вымогателя DarkSide атаковала Colonial Pipeline, крупнейший топливопровод в США, и привела к временному прекращению транспортировки топлива на юго-восток и северо-восток США.
Неделю спустя национальная система здравоохранения Ирландии, HSE, подверглась атаке программы-вымогателя Conti, которая серьезно нарушила работу служб здравоохранения по всей стране.
Считается, что все эти кибергруппы, включая REvil, действуют за пределами России.
Сегодня на брифинге для прессы пресс-секретарь Джен Псаки заявила, что президент Байден обсудит эти атаки с президентом России Владимиром Путиным на саммите в Женеве 16 июня.
«Это будет предметом обсуждения в ходе прямых бесед один на один или прямых переговоров с президентом Путиным и президентом Байденом, которые состоятся всего через пару недель», - сказал Псаки на брифинге для прессы.
REvil, также известный как Sodinokibi, начал свою деятельность в апреле 2019 года и считается ответвлением или ребрендингом печально известной банды вымогателей GandCrab, которая закрылась в июне 2019 года.
Атака программы-вымогателя наJBS
Атака программы-вымогателя на JBS произошла рано утром в воскресенье, 31 мая, в результате чего JBS отключила свою сеть, чтобы предотвратить распространение атаки.
«Компания приняла незамедлительные меры, приостановив работу всех затронутых систем, уведомив органы власти и активировав глобальную сеть ИТ-специалистов и сторонних экспертов компании для разрешения ситуации», - говорится в заявлении JBS USA.
Атака также привела к тому, что JBS закрыла несколько предприятий по производству продуктов питания, поскольку они потеряли доступ к частям своей сети.
JBS заявила, что их резервные копии не пострадали и что они будут восстанавливать из резервной копии.
Однако BleepingComputer узнал из источников, знакомых с атакой, что было два зашифрованных / поврежденных набора данных, которые не позволили компании вернуться в онлайн.
Проблемы с этими базами данных, похоже, были решены, и JBS заявляет, что большинство их заводов должны быть введены в эксплуатацию завтра.
https://www.bleepingcomputer.com/news/security/fbi-revil-cybergang-behind-the-jbs-ransomware-attack/
Jakub Kroustek:
'.PARTY' - '[email protected]' - https://virustotal.com/gui/file/49ad72cbb8c9325c9059815b6be3a7803f2535818e7c4229eafb5d02fa986608/
+
'.cnc' - '[email protected]' - https://virustotal.com/gui/file/0fbd92c333980baea9a84865f9c1c10fccba96b5b6de208c7a1a822833cd89d3/
+PCrisk
Extension: .ZIG Sample: https://virustotal.com/gui/file/13af926cc99ba9957a236461db17734318dfec8f6cbdd8f442033691f99a0ea6/detection
+
".xcss" - "[email protected]" - https://www.virustotal.com/gui/file/1af26c9d78b02d5b43e43029645046aa2544cf43f9cf068cb6188b5261db25bb/detection +
Jakub Kroustek:
'.nmc' - '[email protected]' - https://virustotal.com/gui/file/195d9d1ba2d6bc352b8607b2b57687f428f0db6e0a0629eb232b33a8efc82432/
+
'.ZEUS' - '[email protected]' - https://virustotal.com/gui/file/672442177ea6c2ec7af3701e73497e0c7fe560c381edd6e40527c010638a3b88/
+
PCrisk:
".OFF" - https://www.virustotal.com/gui/file/f26f83a599f52178f67e49e3c7e83c7863ac717a9451ff786bb9e134ce7412c0/detection
+
".PcS" - [email protected] - https://www.virustotal.com/gui/file/3f382ea030ed56543b3a674c9168aa470aa1e88a51fbbe2d0433d9d629692587/detection
+
".pause" - https://www.virustotal.com/gui/file/ceeaf45fbb91df67d5b9f1ca1905301ce63314152fb50ed7c6c31365d06ec86d/detection
+
".myday" [email protected] +
".grej" - https://www.virustotal.com/gui/file/4e16756531716691da04f09df425743b168dd65d4da5e6a50054f91e221ac2ae/detection
+
Jakub Kroustek:
'.DT' - '[email protected]' - https://virustotal.com/gui/file/aef678c5e58577eed2ef7ca64661d38fd595a2f9c93abc828b30b27045271d4b/
+
'.dance' - '[email protected]' - https://virustotal.com/gui/file/f4cd83ae34d4742d686c73061249227c5dccec1905b5a4abf4ab9cef25982608/
+
'.TOR' - '[email protected]' - https://virustotal.com/gui/file/b4535b39b7c11f9fb69e4deb770db0dc620fdd2bea1c70d3977af339159af71b/
на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:
Тайваньский ведущий производитель памяти и устройств хранения данных ADATA сообщает, что атака программы-вымогателя вынудила его отключить системы после того, как в конце мая была поражена его сеть.
ADATA производит высокопроизводительные модули памяти DRAM, карты флэш-памяти NAND и другую продукцию, включая мобильные аксессуары, игровые продукты, электропоезда и промышленные решения.
В 2018 году компания была признана вторым по величине производителем памяти DRAM и твердотельных накопителей (SSD).
ADATA подтверждает майскую атаку вымогателей
Тайваньский производитель памяти отключил все затронутые системы после обнаружения атаки и уведомил все соответствующие международные органы об инциденте, чтобы помочь отследить злоумышленников.
«Компания ADATA подверглась атаке программы-вымогателя 23 мая 2021 года», - сообщила компания BleepingComputer в сегодняшнем электронном письме.
По словам производителя памяти, бизнес-операции ADATA больше не прерываются, при этом поврежденные устройства восстанавливаются, а службы прекращают работу в обычном режиме.
«Компания успешно приостановила работу затронутых систем, как только была обнаружена атака, и были предприняты все необходимые усилия для восстановления и обновления соответствующих систем ИТ-безопасности», - добавила ADATA.
«К счастью, все движется в нормальное русло, и бизнес-операции не прерываются, поскольку соответствующие меры на случай непредвиденных обстоятельств эффективны.
«Мы полны решимости посвятить себя созданию защищенной системы, чем когда-либо, и да, это будет наша бесконечная практика, пока компания движется вперед к своему будущему росту и достижениям».
Программа-вымогатель Ragnar Locker заявляет об атаке
ADATA не предоставила информации о действиях программы-вымогателя, стоящей за инцидентом, или каких-либо требованиях выкупа. Однако в минувшие выходные об атаке уже заявили кибергруппы Ragnar Locker.
Ragnar Locker сообщает, что они якобы украли 1,5 ТБ конфиденциальных данных из сети ADATA перед развертыванием полезной нагрузки вымогателя.
Пока что Ragnar Locker опубликовал только скриншоты украденных файлов и папок в качестве доказательства своих заявлений, но они угрожают утечкой остальных данных, если производитель памяти не заплатит выкуп.
Согласно снимкам экрана, уже размещенным Ragnar Locker на своем сайте утечки в темной сети, злоумышленники могут собирать и извлекать служебную бизнес-информацию, конфиденциальные файлы, схемы, финансовые данные, исходный код Gitlab и SVN, юридические документы, информацию о сотрудниках, соглашения о неразглашении информации и работу. папки.
Впервые активность программы-вымогателя Ragnar Locker была обнаружена в ходе атак на несколько целей в конце декабря 2019 года.
На скомпрометированных корпоративных конечных точках операторы Ragnar Locker завершают работу программного обеспечения удаленного управления (например, ConnectWise и Kaseya), используемого поставщиками управляемых услуг (MSP) для удаленного управления системами клиентов.
Это позволяет злоумышленникам избежать обнаружения и гарантировать, что администраторы, вошедшие в систему удаленно, не заблокируют процесс развертывания полезной нагрузки.
ФБР предупредило партнеров из частного сектора об увеличении активности программ-вымогателей Ragnar Locker после атаки в апреле 2020 года, которая затронула сеть транснационального энергетического гиганта Energias de Portugal (EDP).
https://www.bleepingcomputer.com/news/security/computer-memory-maker-adata-hit-by-ragnar-locker-ransomware/
Американский подрядчик по производству ядерного оружия Sol Oriens подвергся кибератаке, предположительно, от кибергруппы REvil, которая утверждает, что продает с аукциона данные, украденные во время атаки.
Sol Oriens описывает себя как помощь «Министерству обороны и Министерству энергетики организациям, авиакосмическим подрядчикам и технологическим компаниям в выполнении сложных программ».
REvil утверждает, что украл данные с Sol Oriens
На прошлой неделе операторы REvil перечислили компании, чьи данные они продавали с аукциона, по самой высокой цене.
Одна из перечисленных компаний - Sol Oriens, где REvil утверждает, что украл бизнес-данные и данные сотрудников, включая информацию о зарплате и номера социального страхования.
В качестве доказательства того, что они украли данные во время атаки, REvil опубликовал изображения документа с обзором найма, документов о заработной плате и отчета о заработной плате.
Чтобы заставить Сола Ориенса удовлетворить требования злоумышленника о вымогательстве, кибергруппа пригрозила предоставить «соответствующую документацию и данные военным ведомствам (так в оригинале) по нашему выбору (так в оригинале)».
В заявлении, опубликованном Джаверсом в Twitter, Sols Oriens подтвердила кибератаку в мае 2021 года, которая затронула их сеть.
https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-us-nuclear-weapons-contractor/
Набор из 13 архивов, предположительно содержащих конфиденциальные файлы ADATA, был общедоступен в облачной службе хранения, по крайней мере, в течение некоторого времени.
Большие файловые архивы ADATA
В субботу злоумышленник опубликовал на своем сайте утечки ссылки для загрузки нового набора корпоративных документов ADATA, предупредив заинтересованные стороны о том, что ссылки не сохранятся надолго.
Предчувствие Ragnar Locker подтвердилось, поскольку служба хранения MEGA, где злоумышленники решили разместить незаконно полученные данные, отреагировала и закрыла учетную запись, запретив доступ к любым файлам, которыми они поделились публично.
Два из просочившихся архивов довольно большие и весят более 100 ГБ, но некоторые из них, которые можно было бы легко загрузить, имеют размер менее 1,1 ГБ.
Согласно метаданным файла, опубликованным злоумышленником, самый большой архив составляет около 300 ГБ, и его имя не дает представления о том, что он может содержать. Еще один большой - 117 ГБ и название его такое же невзрачное, как и у первого (Архив №2).
Судя по названиям архивов, Ragnar Locker, вероятно, украл у ADATA документы, содержащие финансовую информацию, соглашения о неразглашении и другие подробности.
Атака программ-вымогателей на ADATA произошла 23 мая 2021 года, вынудив их отключить системы. Как ясно показывает утечка Ragnar Locker, ADATA не заплатила выкуп и самостоятельно восстановила пораженные системы.
Злоумышленник утверждает, что украл 1,5 ТБ конфиденциальных файлов перед развертыванием процедуры шифрования, заявив, что они не торопились с этим из-за плохой защиты сети.
«Итак, как обычно, мы действительно предложили сотрудничать, чтобы исправить уязвимости и восстановить их систему и, конечно же, избегать любых публикаций по этой проблеме, однако они не особо ценили свою личную информацию, а также партнеров / клиенты / сотрудники / информация о клиентах »- Ragnar Locker
Недавно просочившаяся партия архивов - вторая, которую вымогатель Ragnar Locker публикует для ADATA. Предыдущий был опубликован ранее в этом месяце и включает четыре небольших архива по 7 zip (вместе менее 250 МБ), которые все еще можно загрузить.
https://www.bleepingcomputer.com/news/security/adata-suffers-700-gb-data-leak-in-ragnar-locker-ransomware-attack/