Шифровирусы шумной толпою...

1235»

Комментарии

  • отредактировано мая 2020 PM
    ProLock ransomware.

    Несмотря на недолгое время, ProLock уже завоевал популярность, ориентируясь на финансовые, медицинские, государственные и розничные организации. Первая крупная атака группы, о которой мы знаем, по крайней мере, произошла в конце апреля, когда они успешно атаковали Diebold Nixdorf - одного из основных поставщиков банкоматов.

    Начальный доступ
    Операторы ProLock использовали два основных вектора начального доступа: QakBot (Qbot) и незащищенные протоколы удаленного рабочего стола (RDP) со слабыми учетными данными.

    Как правило, QakBot распространяется через фишинговые кампании. Фишинговые электронные письма могут содержать вложения документов Microsoft Office, находящихся под оружием, или просто ссылки на такие документы, которые находятся в облачном хранилище - например, Microsoft OneDrive.

    выполнение
    После того, как жертва загрузит и откроет зараженный документ, и вредоносные макросы будут включены, PowerShell запускается и используется для загрузки и запуска полезной нагрузки QakBot с сервера C2.

    В случае доступа RDP действительные учетные записи используются для обеспечения устойчивости в сети

    Уклонение от защиты:
    У QBot есть хитрый трюк, позволяющий избежать обнаружения: он проверяет наличие самой новой версии и заменяет текущую версию новой. Исполняемые файлы подписываются украденной или поддельной подписью. Начальная полезная нагрузка, загруженная PowerShell, сохраняется на сервере с расширением PNG. Более того, после выполнения он заменяется легитимным файлом calc.exe.

    Чтобы избежать обнаружения, QakBot также использует explorer.exe для выполнения метода внедрения процесса.

    Как уже упоминалось, полезная нагрузка ProLock скрыта внутри файла BMP или JPG и может также рассматриваться как метод уклонения от защиты.

    Доступ к учетным данным
    QakBot обладает возможностями кейлогера, но также может загружать и запускать дополнительные сценарии, такие как Invoke-Mimikatz, версия пресловутого Mimikatz для PowerShell. Это позволяет противнику использовать метод сброса учетных данных.

    открытие
    После получения привилегированных учетных данных операторы ProLock начинают операции по обнаружению сети. Они включают, но не ограничиваются ими, сканирование портов и разведку Active Directory.

    В дополнение к широкому спектру сценариев злоумышленники используют AdFind - еще один популярный инструмент, используемый многими группами вымогателей - для запросов к Active Directory.

    Боковое движение
    Многие противники предпочитают RDP для бокового перемещения по сетям, и ProLock не является исключением. Злоумышленники имеют в своем арсенале пакетные сценарии для обеспечения доступа RDP на целевых хостах

    Для удаленного выполнения сценариев операторы ProLock используют PsExec из Sysinternals Suite, еще одного распространенного инструмента.

    Для запуска ProLock на хостах злоумышленники использовали WMIC - интерфейс командной строки для инструментария управления Windows - который также становится все более популярным среди операторов вымогателей.
    Коллекция
    Как и многие другие группы, операторы ProLock собирают данные из скомпрометированных сетей, чтобы повысить свои шансы на удовлетворение своих требований о выкупе. До эксфильтрации собранные данные архивируются с помощью 7Zip.

    эксфильтрации
    Для эксфильтрации операторы ProLock используют Rclone, инструмент командной строки, способный синхронизировать файлы с различными поставщиками облачного хранилища, такими как OneDrive, Google Drive, Mega и т. д.

    Влияние
    После фильтрации данных группа развертывает ProLock в масштабах всего предприятия. PowerShell используется для извлечения двоичного файла из файла PNG или JPG и вставки его в память

    ProLock убивает процессы из встроенного списка (что интересно, он использует только шесть букв из имени процесса, например «winwor») и останавливает службы, в том числе связанные с безопасностью, такие как CSFalconService (CrowdStrike Falcon), с помощью команды net stop.

    Затем, как и многие другие семейства вымогателей, он использует vssadmin для удаления теневых копий томов и ограничения их размера, поэтому новые копии не создаются

    ProLock добавляет расширение .proLock, .pr0Lock или .proL0ck к каждому зашифрованному файлу и помещает [HOW TO RECOVER FILES]].TXT в каждую папку - файл с инструкциями о том, как расшифровать файлы, включая ссылку на сайт, где находится жертва необходимо ввести уникальный идентификатор и получить информацию об оплате

    Каждый образец ProLock имеет встроенную сумму выкупа - в данном случае это было 35 биткойнов, или примерно 312 000 долларов.

    https://www.group-ib.com/blog/prolock

    статья в русской редакции на Хабре:
    https://habr.com/ru/company/group-ib/blog/502770/


  • отредактировано июня 2020 PM
    Список вымогателей, которые открывают в публичный доступ украденные файлы, если им не заплатили

    AKO Ransomware начал работать в январе 2020 года, когда они начали ориентироваться на корпоративные сети с открытыми службами удаленных рабочих столов.

    CL0P начинался как вариант CryptoMix и вскоре стал выбором вымогателей для группы APT, известной как TA505.

    DoppelPaymer Ransomware
    В июле 2019 года появилось новое вымогательское ПО, которое выглядело и действовало так же, как другое вымогательское ПО под названием BitPaymer.

    Maze Ransomware впервые применил новую тактику кражи файлов и использовании их в качестве рычага, чтобы заставить жертву заплатить.

    Nemty Ransomware
    Первоначально запущенный в январе 2019 года как Ransomware-as-a-Service (RaaS) под названием JSWorm, вымогатель переименовал его в Nemty в августе 2019 года.

    Nephilim Ransomware
    30 марта оператор Nemty Ransomware начал создавать новую группу филиалов для частного Ransomware-as-a-Service под названием Nephilim.

    Netwalker Ransomware
    Начиная с вымогателей Mailto в октябре 2019 года, вымогатели переименовали в Netwalker в феврале 2020 года.

    Pysa впервые появилась в октябре 2019 года, когда компании начали сообщать о том, что новое программное обеспечение вымогателей зашифровало их серверы.

    Впервые увиденный в феврале 2020 года, Ragnar Locker был первым, кто в значительной степени нацелился и завершил процессы, используемые провайдерами управляемых услуг (MSP).

    Sodinokibi вступил в строй в апреле 2019 года и считается преемником GandCrab, который прекратил свою деятельность по вымогательству в 2019 году.

    Sekhmet появился в марте 2020 года, когда он начал ориентироваться на корпоративные сети.

    Работая с конца 2018 года, Snatch был одним из первых вымогателей, которые украли данные и угрожали их опубликовать.

    CryLock Ransomware
    Работая с 2014/2015, вымогателей, известных как Cryakl, в этом году переименовали в CryLock.
    В рамках ребрендинга они также начали кражу данных у компаний перед тем, как зашифровать их файлы и публикуют их, если не заплатили.

    ProLock Ransomware начал свою деятельность как PwndLcker в 2019 году, когда они начали ориентироваться на корпоративные сети с требованиями выкупа в диапазоне от 175 000 до более 660 000 долларов.

    Snake Ransomware начал работать в начале января 2020 года, когда они начали атаковать предприятия в рамках сетевых атак.

    https://www.bleepingcomputer.com/news/security/list-of-ransomware-that-leaks-victims-stolen-files-if-not-paid/
  • отредактировано июля 2020 PM
    на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:

    Jakub Kroustek:
    '.space' - '[email protected]' - https://virustotal.com/gui/file/23af9527da7eabdac8ebb7449ce6f23811bcf1ce5eae02ca10ac032eb423631d/
    #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.BOMBO' - '[email protected]' - https://virustotal.com/gui/file/307077d1a3fd2b53b94d88268e31b0b89b8c0c2ee9dbb46041d3e2395243f1b3/
    #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.ONE' - '[email protected]' - https://virustotal.com/gui/file/7cb8e9a8ccf5e5637c8d44db52b9b56bcd4e8c01b19613fe85100bb71594724a/
    #CrySiS #Dharma #ransomware
    +
    ".act" - [email protected]
    https://forum.kasperskyclub.ru/topic/65378-shifrovalschik-activecryptaolcomact/
    #CrySiS #Dharma #ransomware
    +
    ".pgp" - [email protected]
    https://www.virustotal.com/gui/file/2f2e75affe9217c7211043936678fb1777e2db4a8f1986b8805ddb1e84e9e99b/detection
    https://virusinfo.info/showthread.php?t=225136
    #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.FRM' - '[email protected]' - https://virustotal.com/gui/file/0c3a489f631231d4957834ff8c3d1053e920689a342ea333709793d0dc0163de/ #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.wch' - '[email protected]' - https://virustotal.com/gui/file/40321e5854a892e30534117fe34462d5a3c3077ec7ae77eddb57f0048f0fc32e/
    #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.club' - '[email protected]' - https://virustotal.com/gui/file/d4de6368b64c3ce141ef9125963164eb47ec1192bdf4352c41912882e14fd8f8/
    #CrySiS #Dharma #ransomware
    +
    ".dr" - [email protected]
    https://forum.kasperskyclub.ru/topic/65561-shifrovalschik-drdecryptaolcom/
    #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.hack' - '[email protected]' - https://virustotal.com/gui/file/969055343b00f8e40a76a93d22082d94a70bcb3a0277282c71024478c89bea3d/ #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.HCK' - '[email protected]' - https://virustotal.com/gui/file/2c37c48e249258c88a75c508cd3df9707796d7608bae86df6c47cf3f0b81200a/ #CrySiS #Dharma #ransomware (including powershell scripts)
    +
    Jakub Kroustek:
    '.r3f5s' - '[email protected]' - https://virustotal.com/gui/file/12c24d9ca6e75ffebf4c2ecdb981a53962d0a832ad3698e4d28db1208333f579/ #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.bad' - '[email protected]' - https://virustotal.com/gui/file/4d48d920a28ac94f75fad4006bde164d6a12595bcab78aa57af4cba65dee4474/ #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.hlpp' - '[email protected]' - https://virustotal.com/gui/file/48ffa796e082e31706478eeda00ef216e067e5a9ae36f0a6ecfac44264ba31dd/ #CrySiS #Dharma #ransomware
    +
    dnwls0719:
    Ext: ".base" mail: [email protected]
    R/n: FILES ENCRYPTED.txt
    https://virustotal.com/gui/file/880207fb1e6f801d59d06208b8e37271c877bea94821fbf2883c6d70558fe587/detection
    #CrySis/#Dharma #Ransomware
    +
    .HOW - [email protected]]
    https://forum.kasperskyclub.ru/topic/65681-zashifrovano-how_decryptaolcomhow/
    r/n: info.hta; FILES ENCRYPTED.txt
    +
    Jakub Kroustek:
    '.HOW' - '[email protected]' - https://virustotal.com/gui/file/aaa58c49704fd80ed8cbb39a92bb2dc923d402b40077c9c155e5f46f874db7e3/ #CrySiS #Dharma #ransomware
    +
    Michael Gillespie:
    #Dharma #Ransomware w/ extension ".team" spotted on ID Ransomware
    +
    dnwls0719:
    Ext: ".credo" mail:[email protected]
    R/n:FILES ENCRYPTED.txt
    https://virustotal.com/gui/file/a49742e72ca26d37e26962ba7f2d929b87ddb6ce07f3304f78e9af499b226281/detection
    #CrySis/#Dharma #Ransomware
    +
    Jakub Kroustek:
    '.lxhlp' - '[email protected]' - https://virustotal.com/gui/file/78c67c0dd37ebb4e984ca8bfb5d3334eef0c21f26261b12d7644dd4d030bfd88/ #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.NHLP' - '[email protected]' - https://virustotal.com/gui/file/7563103c40ba3557be4666680ab056de4bc23e99788183490c5f9d6c141e6d0e/ #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.gyga' - '[email protected]' - https://virustotal.com/gui/file/9de6a6ec09ad628c648c55914a838942b6803b1f36d4918504d47f642d7e3a4f/ #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.bmtf' - '[email protected]' - https://virustotal.com/gui/file/ba373b768f74378ba4403613e42ad222993057c1fbedb239fcd9bfafcef5145f/ #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.prnds' - '[email protected]' - https://virustotal.com/gui/file/eba0eb8da8fb574e12e48b6435ea6d3b9f849c6219356565bbb5abf1f96b40ba/ #CrySiS #Dharma #ransomware
    +
    Michael Gillespie:
    #Dharma #Ransomware w/ extension ".teamV", "[email protected]" spotted on ID Ransomware.
    +
    Jakub Kroustek:
    '.GNS' - '[email protected]' - https://virustotal.com/gui/file/4efa28ba5bd1add4623fbc93a0e544b138a7a5dc095c0df2b9b77ecddd418722/ #CrySiS #Dharma #ransomware
    +
    '.felix' - '[email protected]' - https://virustotal.com/gui/file/83ef5862fddfbf23d34e9676642f0dc8e54bd25c9d9fa0695c59d44b8f9190dd/ #CrySiS #Dharma #ransomware
    +
    '.null' - '[email protected]' - https://virustotal.com/gui/file/41503d4428d23f4b20286aa61c6bca4273aa2e02a7540ccf87514b5a930192d8/ #CrySiS #Dharma #ransomware
    +
    Michael Gillespie:
    #Dharma #Ransomware w/ extension ".smpl", email [email protected] spotted on ID Ransomware.
    +
    "'.rxx'" - "[email protected]"
    https://app.any.run/tasks/4f3d06f5-9a88-4213-bb8f-f9844ac2b14e
    #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    ''.data'' - '[email protected]' - https://virustotal.com/gui/file/971573155a414b5f5d6ca92d1e4126f5468ff39a4a6c91c03eb1e67ede82f2fe/ #CrySiS #Dharma #ransomware
    +
    Marcelo Rivero:
    .homer - "[email protected][.]fr"
    - Note: FILES ENCRYPTED.txt / Info.hta
    - #CrySis/#Dharma #Ransomware
    +
    Jakub Kroustek:
    '.HAT' - '[email protected]' - https://virustotal.com/gui/file/5d50101ed7891a85cdf98d9c8d5014223d5fad04d3eae6170afa2b1b00581bd5/ #CrySiS #Dharma #ransomware
    +
    Marcelo Rivero:
    '.tcprx' - '[email protected]'
    https://www.virustotal.com/gui/file/e7cb48855681fc2655c5e54a0d9ef32a62634614d19dc294d74f22c97ebe47ba/detection
    #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.LOG' - '[email protected]' - https://virustotal.com/gui/file/e59eb03dc810cbdb718e6b5fc087fb21b4c6e8b3a62ffe29cc6486901ff68168/ #CrySiS #Dharma #ransomware
    .cezar/.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0day; .hccapx; .cap; .xxxx; .crash; .php; .dqb; .save; kick; .1BTC; .com2; .Acuf2; .nqix; .Q1G; .pdf; .cmd; MGS; .RSA; .ebola; .money; .VIVAL; .UTC; .CASH; .KRAB; .uta; .bot; .wiki; PBD; .one; .xda; .start; .asus; .VIRUS; .rsa; .kr; '.ninja; .nvram; .SySS; .kharma; .abc; .2048; ROGER; .bitx; .IMI; .asd; RIDIK; .Z9; .LIVE; 2NEW; .NEWS; .msh; .wrar; .CU; .rajar; .blend; .WHY; .crown; .ncov; .self; .PAY; .NcOv; .PLEX; .YKUP; .8800; .rxx; '.GTF; .Mark; .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOP; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; .space; .BOMBO; .ONE; .act; .pgp; .FRM; .wch; .club; .dr; .hack; .HCK; .r3f5s; .bad; hlpp; base; .HOW; .team; .credo; .lxhlp; .NHLP; .gyga; .bmtf; .prnds; .teamV; .GNS; .felix; .null; smpl; .rxx; .data; .homer; HAT; .tcprx; .LOG
  • Новое вымогательское ПО CryCryptor предназначалось для пользователей Android в Канаде и распространяется через два веб-сайта под видом официального приложения для отслеживания COVID-19, предоставленного Health Canada. Исследователи ESET проанализировали вымогателей и создали инструмент дешифрования для жертв.

    CryCryptor появился всего через несколько дней после того, как канадское правительство официально объявило о своем намерении поддержать разработку общенационального приложения для добровольного отслеживания под названием COVID Alert. Официальное приложение должно быть запущено для тестирования в провинции Онтарио уже в следующем месяце.

    ESET проинформировал Канадский центр кибербезопасности об этой угрозе, как только она была выявлена.

    https://www.welivesecurity.com/2020/06/24/new-ransomware-uses-covid19-tracing-guise-target-canada-eset-decryptor/
  • отредактировано августа 2020 PM
    +
    thyrex:
    #WannaCash 2.0 #Ransomware from August 1, 2020
    Changes filename to [number] Файл зашифрован. Пиши. [ Почта [email protected] ] .WANNACASH v010820
    Email: [email protected]
    Reserved email: [email protected]

  • отредактировано сентября 2020 PM
    Marcelo Rivero
    '.1dec' - '[email protected]'
    https://www.virustotal.com/gui/file/47e569fe14acf461ed5ef997b31ce8d8981aebafce5f83753636ee37555b46e4/detection
    #CrySiS
    +
    Jakub Kroustek:
    '.xati' - '[email protected]' - https://virustotal.com/gui/file/bd119855b3c70a15b81bd76949560049e36578a2bf89a9ca7d85c62ab560d231/ #CrySiS
    +
    Jakub Kroustek:
    '.GET' - '[email protected]' - https://virustotal.com/gui/file/dd0becfddf23e1ce3ba0d2e14860775ef018da3b6f5ae93cc2afea0e137918c1/ #CrySiS
    +
    Jakub Kroustek:
    '.Back' - '[email protected]' - https://virustotal.com/gui/file/62e7e6d7674d141a3e6c21734b8e90d1bb037cb481767107cd376c0f39ed04fd/ #CrySiS
    +
    xiaopao:
    .Aim - "[email protected]"
    md5:b7a281131c0536c293a3829fad957b85
    +
    Jakub Kroustek:
    '.get' - '[email protected]' - https://virustotal.com/gui/file/
    8f207c96ba8dec4304b6c394afd5e93266fa756018930fe70c201051fce7be94 #CrySiS
    +
    '.abc' - '[email protected]' - https://virustotal.com/gui/file/210dfc893a183ede7a7920582123d2c9f5989dd53a9bd7a16afd075b84e8dca0/ #CrySiS
    +
    '.rec' - "[email protected]"
    https://forum.kasperskyclub.ru/topic/70071-zashifrovano-enabledecryptaolcomrec/
    +
    '.NW24' - '[email protected]' - https://virustotal.com/gui/file/49b168bb2c29ae38864d51958bc4718a48011be3e737a1bc55d50b62e08d6bdd/ #CrySiS
    +
    '.gtf' - '[email protected]' - https://virustotal.com/gui/file/7f6bb5929acf9419aa1cfb698cd95351b9843d21467a3adee5df29d2b24ecabc/ #CrySiS
    +
    '.cl' - '[email protected]' - https://virustotal.com/gui/file/b7a4b6a622db4163338ba420e7f4b4b9d3adae82d04ef43f5e9d5995bcb31ee3/ #CrySiS
    +
    xiaopao:
    ".gold" - "[email protected]"
    https://www.virustotal.com/gui/file/ad14312e134f8b9483b2d701b1470758e8944764ec803252efede6b1c49e9485/detection #CrySiS
    +
    ".eur" - "[email protected]"
    https://www.virustotal.com/gui/file/8e8b6818423930eea073315743b788aef2f41198961946046b7b89042cb3f95a/detection #CrySiS
    +
    Jakub Kroustek:
    '.blm' - '[email protected]' - https://virustotal.com/gui/file/3ffdc66b27556a72f5acb3416bc97d7642352a5221bfe7fad12e01c6dc36beb9/ #CrySiS
    +
    xiaopao:
    ".chuk" -"[email protected]" - https://www.virustotal.com/gui/file/71a572f20fe05f5b3cd848c8c8407231428f4e67ddf62fe7d30558946228897f/detection
    +
    ".lina" -"[email protected]" - https://www.virustotal.com/gui/file/56110a6d5280e08db85c0a8037608bcf9ccc7331b25825b5b79d6e7b8458b7a5/detection
    +
    Marcelo Rivero:
    '.AHP' - '[email protected]' - https://www.virustotal.com/gui/file/5560b7207f4864f73e4331e934d86a381d77a8848e2a7d22bf45e73ab2aa81b5/detection
    +
    Jakub Kroustek:
    '.TEREN' - '[email protected]' - https://virustotal.com/gui/file/da4a0344c6863c75928fd68529444dee0f7ae27bbf28ea3f7a795af5c83cfda3/ #CrySiS #Dharma #ransomware
    +
    ".cve" - "[email protected]"
    virusinfo.info:
    https://virusinfo.info/showthread.php?t=225669
    +
    Michael Gillespie
    ".WSHLP" spotted on ID Ransomware #Dharma #Ransomware

    на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:
    .cezar/.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0day; .hccapx; .cap; .xxxx; .crash; .php; .dqb; .save; kick; .1BTC; .com2; .Acuf2; .nqix; .Q1G; .pdf; .cmd; MGS; .RSA; .ebola; .money; .VIVAL; .UTC; .CASH; .KRAB; .uta; .bot; .wiki; PBD; .one; .xda; .start; .asus; .VIRUS; .rsa; .kr; '.ninja; .nvram; .SySS; .kharma; .abc; .2048; ROGER; .bitx; .IMI; .asd; RIDIK; .Z9; .LIVE; 2NEW; .NEWS; .msh; .wrar; .CU; .rajar; .blend; .WHY; .crown; .ncov; .self; .PAY; .NcOv; .PLEX; .YKUP; .8800; .rxx; '.GTF; .Mark; .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOP; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; .space; .BOMBO; .ONE; .act; .pgp; .FRM; .wch; .club; .dr; .hack; .HCK; .r3f5s; .bad; hlpp; base; .HOW; .team; .credo; .lxhlp; .NHLP; .gyga; .bmtf; .prnds; .teamV; .GNS; .felix; .null; smpl; .rxx; .data; .homer; HAT; .tcprx; .LOG; .1dec; .xati; .GET; .Back; .Aim; .get; .abc; .rec; .NW24; .gtf; .cl; .gold; .eur; .blm; .chuk; .AHP; .lina; .TEREN; .cve; .WSHLP
  • отредактировано декабря 2020 PM
    +
    JakubKroustek:
    '.fresh' - '[email protected]' - https://virustotal.com/gui/file/00ce72bb6fb1d2c1d32aa4c4a147e1b9b390cf9d3ae8b5c0cab2718118db4430/
    +
    '.FLYU' - '[email protected]' - https://virustotal.com/gui/file/b565c8e1e81796db13409f37e4bd28877272b5e54ab5c0a3d9b6a024e7f5a039/ #CrySiS
    +
    '.gtsc' - '[email protected]' - https://virustotal.com/gui/file/629302ede09446efc6c44bea6fb9d4c62354816e227f61868528b6af43eeee94/ #CrySiS
    +
    '.dme' - '[email protected]' - https://virustotal.com/gui/file/e4a43f0bb8216496b95826c2c1aeb2f3ece6a7d87a8dbc7a0cc6a3935ace3d90/
    +
    '.Crypt' - '[email protected]' - https://virustotal.com/gui/file/d34b9ea7116f13023f069e47bc6ac8d0c52e8a2f4f13c94314abb08fc24f6352/
    +
    '.259' - '[email protected]' - https://virustotal.com/gui/file/23651e9b7cdde798baa8a43eed6bc719c9e4cb4adecef349294b405cab1df9e9/
    +
    '.LCK' - '[email protected]' - https://virustotal.com/gui/file/7deeb2de11d1dd9d3b349435adbd3c96afc5f6dd5972be38c0656bd3966c0809/
    +
    '.kut' - '[email protected]' - https://virustotal.com/gui/file/08c3e05531e5446b7740ce8284fa2e94add8b2fda5dc6628f8a6e10cac564674/
    +
    ".SWP" -"[email protected]"
    https://forum.kasperskyclub.ru/topic/76768-zashifrovany-fajly-rasshirenie-id-7cf7f7a4eusatutaioswp/
    +
    JakubKroustek:
    '.zimba' - '[email protected]' - https://virustotal.com/gui/file/3510d5d19ef6c6232de909323ec4db8ff5d1a559f8134bc12c51eadb959faf65/
    +
    '.help' - '[email protected]' - https://virustotal.com/gui/file/7d92101ad2a58053299f1147f9ac494face23e41c354bf8097eafc5eaa167e93/
    +
    '.sss' - '[email protected]' - https://virustotal.com/gui/file/f12d033883d1077b25a9e36d36921b39e758f211e4d3b0fe92b2d32bc0b84ba6/
    +
    '.dex' - '[email protected]' - https://virustotal.com/gui/file/e181fb2c45e278661fbbf3fe9b4878e3d7bcee0873d7e1132e3808f10d3e4875/
    +
    '.ZIN' - '[email protected]' - https://virustotal.com/gui/file/5c40efc5d62c055eba9a2679d660d3cd4315358a63c396f3baecc27da1eed363/
    +
    '.SUKA' - '[email protected]' - https://virustotal.com/gui/file/c6a68b146d7adda7ff1cd04166c19339de8b5767f589559e38429d86837dda11/
    +
    '.msf' - '[email protected]' -https://virustotal.com/gui/file/5ad5ffcbd61457b40318264262d0f5c4cebf00c20307a6a72dc9d26e73645f5c/
    +
    '.lock' - '[email protected]' -https://virustotal.com/gui/file/b524398df66d04ac28e7461e7c7ff97c6d69343d13d7f3fdd11e26729813ae5c/
    +
    '.gac' - '[email protected]' - https://virustotal.com/gui/file/620fb72aa352c93407afeea6f5f86e40b786c5b810782ebf244162c72becba47/
    +
    '.21btc' - '[email protected]' - https://virustotal.com/gui/file/b3488f0c94f66eb54e10c211e4d3d3dbca567ddee11a3ab84e4cd1956282e390/
    +
    '.mpr' - '[email protected]' - https://virustotal.com/gui/file/2439d92480542c8d0a75fed9fbc4417f88ef5a79dd81ae5760a3ed55b3b08175/
    +
    '.4help' - '[email protected]' - https://virustotal.com/gui/file/eaa04bc9238eb52c3540e896dfbe347d21ff169834012b1709f676cc77849db3/

    на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:
    .cezar/.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0day; .hccapx; .cap; .xxxx; .crash; .php; .dqb; .save; kick; .1BTC; .com2; .Acuf2; .nqix; .Q1G; .pdf; .cmd; MGS; .RSA; .ebola; .money; .VIVAL; .UTC; .CASH; .KRAB; .uta; .bot; .wiki; PBD; .one; .xda; .start; .asus; .VIRUS; .rsa; .kr; '.ninja; .nvram; .SySS; .kharma; .abc; .2048; ROGER; .bitx; .IMI; .asd; RIDIK; .Z9; .LIVE; 2NEW; .NEWS; .msh; .wrar; .CU; .rajar; .blend; .WHY; .crown; .ncov; .self; .PAY; .NcOv; .PLEX; .YKUP; .8800; .rxx; '.GTF; .Mark; .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOP; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; .space; .BOMBO; .ONE; .act; .pgp; .FRM; .wch; .club; .dr; .hack; .HCK; .r3f5s; .bad; hlpp; base; .HOW; .team; .credo; .lxhlp; .NHLP; .gyga; .bmtf; .prnds; .teamV; .GNS; .felix; .null; smpl; .rxx; .data; .homer; HAT; .tcprx; .LOG; .1dec; .xati; .GET; .Back; .Aim; .get; .abc; .rec; .NW24; .gtf; .cl; .gold; .eur; .blm; .chuk; .AHP; .lina; .TEREN; .cve; .WSHLP; .fresh; .FLYU; .gtsc; .dme; .Crypt; .259; .LCK; .kut; .SWP; .zimba; .help; .sss; .dex; .ZIN; .SUKA; .msf; .lock; .gac; .21btc; .mpr; .4help
  • отредактировано 21 фев PM
    Maze Ransomware прекращает киберпреступную деятельность

    группировка Maze прекращает свою деятельность после того, как стала одним из самых известных игроков, осуществляющих атаки с использованием программ-вымогателей.

    Maze Ransomware начал работать в мае 2019 года, но активизировалась в ноябре.

    Именно тогда операция, ориентированная на средства массовой информации, произвела новый подход в атаках программ-вымогателей, применив тактику двойного вымогательства.

    Сначала они крадут ваши файлы, а затем шифруют их

    Хотя программы-вымогатели всегда дразнили новостные сайты и исследователей, по большей части они, как правило, игнорировали электронные письма журналистов.

    Это изменилось в ноябре 2019 года, когда Maze связался с BleepingComputer, чтобы сообщить нам, что они украли незашифрованные данные для Allied Universal перед их шифрованием.

    Maze заявил, что, если Allied не заплатит выкуп, их данные будут обнародованы. В конечном итоге выкуп не был уплачен, и Maze опубликовал украденные данные.

    Вскоре после этого Maze запустили сайт «Maze News», который они используют для публикации данных о неоплачиваемых жертвах и выпуска «пресс-релизов» для журналистов, которые следят за их деятельностью.

    Этот метод двойного вымогательства был быстро принят другими крупными операциями с программами-вымогателями, включая REvil, Clop, DoppelPaymer, которые выпустили свои собственные сайты утечки данных. Этот метод двойного вымогательства теперь стал стандартной тактикой, используемой почти во всех операциях с программами-вымогателями.

    Maze продолжал развивать операции с программами-вымогателями, создав картель вымогателей с Ragnar Locker и LockBit для обмена информацией и тактиками.

    В течение полутора лет киберпреступности Maze несет ответственность за атаки на известных жертв, включая Southwire, City of Pensacola, Canon, LG Electronics, Xerox и многих других.

    Maze начал отключаться шесть недель назад

    В начале прошлого месяца начали приходить сведения о том, что Maze готовится завершить работу программы-вымогателя точно так же, как это сделал GandCrab в 2019 году.

    Когда BleepingComputer связался с Maze, чтобы подтвердить, выключаются ли они, нам сказали: «Вам следует дождаться пресс-релиза».

    На этой неделе Maze начал удалять жертв, которые они указали на своем сайте утечки данных. Все, что осталось на сайте, - это две жертвы и те, кто ранее и опубликовал все свои данные.

    Очистка места утечки данных указывает на неизбежное завершение работы программы-вымогателя.
    Операторы программ-вымогателей нередко выпускают главные ключи дешифрования при завершении работы, как это было сделано с Crysis, TeslaCrypt и Shade.
    BleepingComputer обратился к Maze, чтобы спросить, предоставят ли они свои ключи, когда завершат работу, но не получили ответа.

    https://www.bleepingcomputer.com/news/security/maze-ransomware-is-shutting-down-its-cybercrime-operation/
  • отредактировано ноября 2020 PM
    Программа-вымогатель Maze прекращает работу и отрицает создание картеля

    Печально известная группа Maze объявила сегодня, что они официально закрыли свои операции с программами-вымогателями и больше не будут сливать данные новых компаний на своем сайте.

    Сегодня Maze выпустил пресс-релиз под названием «Проект закрыт», в котором говорится, что они закрыты, а любая другая операция вымогателя, использующая его название, является мошенничеством.

    "Проект Maze Team объявляет о своем официальном закрытии.
    Все ссылки на наш проект, использование нашего бренда, наши методы работы следует рассматривать как мошенничество.

    У нас никогда не было партнеров или официальных преемников. Наши специалисты не работают ни с каким другим программным обеспечением. Никто и никогда не сможет принимать новых партнеров на нашем новостном сайте. Картеля Maze Ransimware не было и не существует. Это можно найти только в головах журналистов, которые об этом писали».

    https://www.bleepingcomputer.com/news/security/maze-ransomware-shuts-down-operations-denies-creating-cartel/
  • отредактировано декабря 2020 PM
    Вредоносная программа Gootkit вновь активна вместе с программой-вымогателем REvil

    После годичного отпуска троян Gootkit, ворующий информацию, вернулся к жизни вместе с REvil Ransomware в новой кампании, нацеленной на Германию.

    Троянец Gootkit - это вредоносное ПО на основе Javascript, которое выполняет различные вредоносные действия, включая удаленный доступ для злоумышленников, захват нажатия клавиш, запись видео, кражу электронной почты, кражу паролей и возможность внедрять вредоносные сценарии для кражи учетных данных онлайн-банкинга.

    В прошлом году злоумышленники Gootkit пострадали от утечки данных после того, как оставили базу данных MongoDB открытой в Интернете. После этого нарушения считалось, что актеры Gootkit прекратили свою деятельность, пока они внезапно не ожили в начале этого месяца.


    На прошлой неделе исследователь безопасности, известный как The Analyst, сообщил BleepingComputer, что вредоносное ПО Gootkit снова появилось в ходе атак, направленных на Германию.

    В этой новой вредоносной кампании злоумышленники взламывают сайты WordPress и используют SEO-отравление, чтобы показывать посетителям фальшивые сообщения на форуме. Эти сообщения выдают себя за вопросы и ответы со ссылкой на поддельные формы или загрузки.

    Когда пользователь нажимает на ссылку, он загружает ZIP-файл, содержащий обфусцированный JS-файл, который устанавливает либо вредоносную программу Gootkit, либо программу-вымогатель REvil.

    Этот же метод распространения ранее использовался REvil в сентябре 2019 года, примерно в то же время, когда исчез Gootkit.

    Gootkit и REvil установлены в бесфайловых атаках

    В новом отчете, опубликованном сегодня, исследователи Malwarebytes объясняют, что вредоносные полезные нагрузки JavaScript будут выполнять безфайловые атаки Gootkit или REvil.

    При запуске сценарий JavaScript подключается к своему серверу управления и контроля и загружает другой сценарий, содержащий вредоносные вредоносные программы.

    Согласно анализу Malwarebytes, этой полезной нагрузкой обычно является Gootkit, но в некоторых случаях это также была программа-вымогатель REvil.

    "После преобразования в ASCII открывается следующий код JavaScript, и код выполняется. Этот код JavaScript поставляется со встроенной полезной нагрузкой PE, которая может быть либо загрузчиком для Gootkit, либо для программы-вымогателя REvil. Существуют также некоторые различия в используемом алгоритме чтобы деобфускировать его », - говорится в сообщении Malwarebytes.

    В конечном итоге загрузчик прочитает полезные данные реестра или текстового файла, расшифрует их и безфайлово запустит процесс прямо в память.

    Использование обфусцированных полезных данных и их разбиение на части, хранящиеся в реестре, затрудняет обнаружение вредоносных полезных данных программным обеспечением безопасности.


    "Злоумышленники, стоящие за этой кампанией, используют очень умный загрузчик, который выполняет ряд шагов, чтобы избежать обнаружения. Учитывая, что полезная нагрузка хранится в реестре под ключом с произвольным названием, многие продукты безопасности не смогут обнаруживать и удалять это ", - поясняет Malwarebytes.


    https://www.bleepingcomputer.com/news/security/gootkit-malware-returns-to-life-alongside-revil-ransomware/
  • отредактировано 23 фев PM
    Jakub Kroustek:
    '.aol' - '[email protected]' - https://virustotal.com/gui/file/8264bb059dfe989ae1390c7a433e4e33abb42b04bab614a7fe3d83de085fcacb/
    +
    '.14x' - '[email protected]' - https://virustotal.com/gui/file/ceeebc607039d96fd8dea033f23e9323190c60c9aecd9fe2b93f82979af1fc57/
    +
    '.hub' - '[email protected]' - https://virustotal.com/gui/file/0e9189e931a9dddb64c3bea533e3e288c9ab30690568d4ee99ef2fcabc9e646f/

    H-A:
    ".yoAD" - "[email protected]" - https://www.virustotal.com/gui/file/af6fbd5a5ae9d9ce415d39a62535eb4bd042598bfdc788da6263cbdd251ac679/

    https://app.any.run/tasks/5fa6bd40-8659-4aca-b4e7-7f5b8265faf5
    +
    Jakub Kroustek:
    '.dis' - '[email protected]' - https://virustotal.com/gui/file/4ddaaf03b683576f9faca0464cd9bff501b07ba3d180b5b32814aa22300c20b5/
    +
    Ravi:
    .NOV - [email protected] or [email protected]

    https://www.hybrid-analysis.com/sample/5997f7c46d8860cb07a00edf9e093e21a2416cc508c51dbd3838628d9b46b0d5/6013a593842bc8228016b31b
    https://app.any.run/tasks/b4d5c668-47d9-430d-b233-257bf1bfa9de/
    +
    Jakub Kroustek:
    '.Avaad' - '[email protected]' - https://virustotal.com/gui/file/272a93b943f94b6656fe8d3f16646bdaf8bdb301497e04db1bded4a6d146b871/
    +
    '.crypt' - '[email protected]' - https://virustotal.com/gui/file/36e14e6f35893002bb9b514253986cb8b7bd3e6d7efb1ea30de22b18421dd5cf/
    +
    '.22btc' - '[email protected]' - https://virustotal.com/gui/file/041c0767f3f769561d9cd6de5151f231094cd5cb95f04becb677e46590d23c89/
    +
    '.TomLe' - '[email protected]' - https://virustotal.com/gui/file/875ab9bab59806cbd216b94b42cad05f7343a70e4883b6cc80948537207ae96c/
    +
    '.word' - '[email protected]' - https://virustotal.com/gui/file/05e21cb43473e8c0ce34e6cbfb3da902888f562d6921b7e4d57d589361fc7a4c/
    обнаружен на российких форумах:
    https://forum.kasperskyclub.ru/topic/79908-zashifrovany-fajly/
    +
    '.con30' - '[email protected]' - https://virustotal.com/gui/file/1985484e3902f29e40871adb7f0970e68fff9254c44f22ff5cefcc1ea030b758/
    +
    '.text' - '[email protected]' - https://virustotal.com/gui/file/fd7a7c5664c7836f239257d504c36580c7ce75533951f54f0bfa16d44518191b/
    +
    '.LOTUS' - '[email protected]' - https://virustotal.com/gui/file/d4d34d3ae57d26d04ff437c8897d74b247c0252b43d34374ce3b6552c3c50c02/
    +
    '.wcg' - '[email protected]' - https://virustotal.com/gui/file/429fa16efd3525859da4f6792a7d74ffe68826591156ab455107c18bdfdc54ad/
    +
    '.pauq' - '[email protected]' - https://virustotal.com/gui/file/6260cf0e2317cfcaf9ab0c6ed6913251aeff3af02b3ed3356dba2ce2e2db0199/
    +
    '.four' - '[email protected]' - https://virustotal.com/gui/file/ad56cf92755de3fe4c83433d58b79d7bc07b5cc220bf500b5908f8c95371512c/
    +
    Emmanuel_ADC-Soft:
    ".urs" - [email protected]

    на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:
    .cezar/.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0day; .hccapx; .cap; .xxxx; .crash; .php; .dqb; .save; kick; .1BTC; .com2; .Acuf2; .nqix; .Q1G; .pdf; .cmd; MGS; .RSA; .ebola; .money; .VIVAL; .UTC; .CASH; .KRAB; .uta; .bot; .wiki; PBD; .one; .xda; .start; .asus; .VIRUS; .rsa; .kr; '.ninja; .nvram; .SySS; .kharma; .abc; .2048; ROGER; .bitx; .IMI; .asd; RIDIK; .Z9; .LIVE; 2NEW; .NEWS; .msh; .wrar; .CU; .rajar; .blend; .WHY; .crown; .ncov; .self; .PAY; .NcOv; .PLEX; .YKUP; .8800; .rxx; '.GTF; .Mark; .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOP; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; .space; .BOMBO; .ONE; .act; .pgp; .FRM; .wch; .club; .dr; .hack; .HCK; .r3f5s; .bad; hlpp; base; .HOW; .team; .credo; .lxhlp; .NHLP; .gyga; .bmtf; .prnds; .teamV; .GNS; .felix; .null; smpl; .rxx; .data; .homer; HAT; .tcprx; .LOG; .1dec; .xati; .GET; .Back; .Aim; .get; .abc; .rec; .NW24; .gtf; .cl; .gold; .eur; .blm; .chuk; .AHP; .lina; .TEREN; .cve; .WSHLP; .fresh; .FLYU; .gtsc; .dme; .Crypt; .259; .LCK; .kut; .SWP; .zimba; .help; .sss; .dex; .ZIN; .SUKA; .msf; .lock; .gac; .21btc; .mpr; .4help; .aol; .14x; .hub; .yoAD; .dis; .NOV; .Avaad; .crypt; .22btc; .TomLe; .word; .con30; .text; .LOTUS; .wcg; .pauq; .four; .urs
  • отредактировано 10 янв PM
    ФБР предупреждает о вымогательстве Egregor, которое вымогает у компаний по всему миру

    Федеральное бюро расследований США (ФБР) разослало компании частного сектора с предупреждением о том, что деятельность программы-вымогателя Egregor активно атакует и вымогает у компаний по всему миру.

    ФБР сообщает в сообщении TLP: WHITE Private Industry Notification (PIN), опубликованном в среду, что Egregor утверждает, что уже нанес удар и скомпрометировал более 150 жертв с тех пор, как агентство впервые обнаружило эту вредоносную деятельность в сентябре 2020 года.

    «Из-за большого количества участников, задействованных в развертывании Egregor, тактика, методы и процедуры, используемые при его развертывании, могут сильно различаться, создавая серьезные проблемы для защиты и смягчения последствий», - заявляет служба разведки и безопасности США.

    «Программа-вымогатель Egregor использует несколько механизмов для взлома бизнес-сетей, включая нацеливание на бизнес-сеть и личные учетные записи сотрудников, которые имеют общий доступ к бизнес-сетям или устройствам».

    Фишинговые электронные письма с вредоносными вложениями и небезопасным протоколом удаленного рабочего стола (RDP) или виртуальными частными сетями являются одними из векторов атак, используемых участниками Egregor для получения доступа и горизонтального перемещения внутри сетей своих жертв.

    Egregor использует Cobalt Strike, Qakbot / Qbot, Advanced IP Scanner и AdFind для повышения привилегий и бокового перемещения сети.

    Филиалы также используют 7zip и Rclone, иногда замаскированные под процесс Service Host Process (svchost), для кражи данных перед развертыванием полезной нагрузки вымогателя в сети жертв.

    ФБР также поделилось списком рекомендуемых мер по смягчению последствий, которые должны помочь защитить от атак Эгрегора:
    Резервное копирование критически важных данных в автономном режиме.
    - Убедитесь, что копии критически важных данных находятся в облаке, на внешнем жестком диске или устройстве хранения.
    - Защитите свои резервные копии и убедитесь, что данные недоступны для изменения или удаления из системы, в которой они хранятся.
    - Установите и регулярно обновляйте антивирусное или антивирусное программное обеспечение на всех хостах.
    - Используйте только безопасные сети и избегайте общедоступных сетей Wi-Fi.
    - Используйте двухфакторную аутентификацию и не нажимайте на незапрошенные вложения или ссылки в электронных письмах.
    - Сделайте ставку на исправление общедоступных продуктов и приложений удаленного доступа, включая недавние уязвимости RDP (CVE-2020-0609, CVE-2020-0610, CVE-2020-16896, CVE-2019-1489, CVE-2019-1225, CVE-2019. -1224, CVE-2019-1108).
    - Просмотрите подозрительные файлы .bat и .dll, файлы с данными разведки (например, файлы .log) и инструменты для эксфильтрации.
    - Безопасно настройте RDP, ограничив доступ, используя многофакторную аутентификацию или надежные пароли.

    Работа RaaS с бывшими филиалами Maze в качестве партнеров

    Egregor - это программа-вымогатель как услуга, которая сотрудничает с аффилированными лицами, которые взламывают сети для развертывания полезных нагрузок вымогателей, распределяя доходы от выкупа с операторами Egregor с использованием разделения 70/30.

    После проникновения в сети жертв они также крадут файлы перед шифрованием устройств и используют их в качестве рычага воздействия под угрозой публичной утечки украденных данных, если выкуп не будет уплачен.

    Egregor начал работать после того, как Maze закрыл свою работу, и многие из филиалов Maze сразу же переключились на RaaS Egregor, как сообщили BleepingComputer злоумышленники.

    С сентября аффилированные лица Egregor взламывают и зашифровывают системы нескольких известных организаций, включая, помимо прочего, Ubisoft, Kmart, Randstad, Barnes and Noble, Cencosud, Crytek и транспортное агентство TransLink Metro Vancouver.

    https://www.bleepingcomputer.com/news/security/fbi-warns-of-egregor-ransomware-extorting-businesses-worldwide/
  • отредактировано 15 янв PM
    Inside of CL0P’s ransomware operation

    В 2020 году наблюдались три волны спама, исходящие от TA505: они начались в январе / феврале, затем последовали более длительный период летом с июня по сентябрь и очень короткий период в начале декабря. За месяцы отсутствия спама они добавляли все больше и больше жертв на свой портал вымогателей «CL0P ^ -LEAKS».

    Первый период активности

    Первый период рассылки спама начался 02.06.2020 и закончился 11.09.2020. В течение этого периода TA505 рассылал фишинговые письма почти каждый рабочий день, чтобы закрепиться во многих сетях. Впоследствии они будут отфильтровывать интересные корпоративные сети, а затем продвигать свое вторжение, двигаясь в боковом направлении.

    Дата окончания наблюдаемой спамерской активности особенно интересна в связи с объявлением Secura. 11 сентября 2020 года, что было пятницей и, следовательно, последним днем ​​обычной недели спама TA505, Secura объявила об уязвимости Zerologon. Это только предположение, почему TA505 не продолжил рассылку спама в следующий понедельник: либо публикация Zerologon резко прекратила их рассылку, либо они воспользовались возможностью быстро продвинуться в отдельных сетях.

    В сентябре и октябре 2020 года CL0P удалось развернуть программу-вымогатель на нескольких жертвах. Наблюдаемые случаи в основном имели место в пятницу и субботу.

    Второй период активности

    В середине декабря 2020 года TA505 вернулся менее чем за две недели спама, что могло поставить под угрозу возможные сети жертв для развертывания CL0P во время рождественских праздников 2020 года. Еще одним мотивом может быть получение доступа к новым сетям жертв, чтобы возобновить работу в январе / Февраль 2021 г.

    Программа-вымогатель CL0P

    CL0P - это программа-вымогатель, которая развертывается после первоначального вторжения TA505. Каждый образец CL0P уникален для жертвы. Во-первых, он содержит 1024-битный открытый ключ RSA, используемый для шифрования данных. Во-вторых, он содержит персональную записку о выкупе.

    Программа-вымогатель написана на C ++ и разработана в Visual Studio 2015 (14.0). Размер неупакованного образца составляет от 100 до 200 КБ. CL0P переименовывает зашифрованные файлы и добавляет окончание файла либо «.Cllp», либо «.CI0p».

    Программа-вымогатель содержит 1024-битный открытый ключ RSA, уникальный для каждой жертвы. Хотя 1024-битные ключи RSA устарели, до факторизации 1024-битных ключей еще далеко. По состоянию на январь 2021 года самый крупный публично известный ключ RSA, который был разложен в рамках RSA Factoring Challenge, имел 829 бит.

    есть хорошее описание функциональности CL0P от S2W LAB.

    портал утечек CL0P

    CL0P - одна из кибергрупп вымогателей, которая применила метод двойного вымогательства. Прежде чем развернуть программу-вымогатель, они извлекают до терабайта конфиденциальных данных из сети жертвы. В случае, если жертва правильно настроила резервное копирование и не желает платить выкуп, она все равно может пригрозить опубликовать эти данные на своем портале утечек «CL0P ^ -LEAKS». Портал перечисляет 19 жертв в январе 2021 года. Большинство из них проживают в Германии. Портал утечек размещен в сети TOR

    Заключение

    CL0P была одной из самых активных операций по атакам шифровальщиков в 2020 году. Им удалось взломать несколько крупных предприятий. Их вторжения связаны с TA505. Очевидно, что эти вторжения продолжатся с той же скоростью и частотой в 2021 году.

    Образцы CL0P содержат персонализированные записки о выкупе, в которых упоминается жертва и раскрываются важные детали переговорного процесса. Операторы CL0P предлагают собственный портал для переговоров, в том числе службу поддержки через чат.

    В случаях, когда жертвы не платят выкуп, они загружают большие объемы конфиденциальных данных на свой портал «CL0P ^ -LEAKS». На момент написания они продолжают хранить эти данные там, в некоторых случаях более девяти месяцев.

    операторы CL0P имеют доступ к исходному коду CL0P. Они способны компилировать и быстро исправлять в нем проблемы во время текущего развертывания. Это подчеркивает предположение о том, что эта кибергруппа представляет собой закрытую группу людей, которые совместно используют общие ресурсы и работают в тесном сотрудничестве.

    https://www.telekom.com/en/blog/group/article/inside-of-cl0p-s-ransomware-operation-615824
  • отредактировано 18 янв PM
    Команда McAfee Advanced Threat Research Team наблюдала, как в мае 2019 года появилось новое семейство программ-вымогателей под названием «Buran». Buran работает как модель RaaS, как и другие семейства программ-вымогателей, такие как REVil, GandCrab (ныне несуществующие), Phobos и т. Д.

    Реклама программ-вымогателей Buran

    Об этой программе-вымогателе было объявлено на известном форуме следующим сообщением:
    Buran - стабильный оффлайн криптоклокер с гибкой функциональностью и круглосуточной поддержкой.

    Исследователи опрделили, что Buran был доставлен через Rig Exploit Kit. Важно отметить, что Rig Exploit Kit является предпочтительным EK, используемым для доставки последних кампаний вымогателей.

    Rig Exploit Kit использовал CVE-2018-8174 (Microsoft Internet Explorer VBScript Engine, выполнение произвольного кода) для использования на стороне клиента. После успешной эксплуатации эта уязвимость доставит в систему вымогатель Buran.

    VegaLocker, Jumper и теперь Buran Ransomware

    Buran - это эволюция программы-вымогателя Jumper. VegaLocker является источником этого семейства вредоносных программ.

    Авторы вредоносных программ развивают свой вредоносный код, чтобы улучшить его и сделать более профессиональным. Попытка скрытно сбить с толку исследователей безопасности и AV-компании может быть одной из причин смены названия между версиями.

    https://www.mcafee.com/blogs/other-blogs/mcafee-labs/buran-ransomware-the-evolution-of-vegalocker/

    https://app.any.run/tasks/2062e9ba-79f0-4e7b-ac68-de306001eebe/
  • RansomExx также шифрует системы Linux

    Поскольку компании обычно используют смешанную среду серверов Windows и Linux, операторы вымогателей все чаще начинают создавать версии своих вредоносных программ для Linux, чтобы обеспечить шифрование всех критических данных.

    В сегодняшнем новом отчете «Лаборатории Касперского» рассматривается версия вымогателя RansomExx для Linux, также известного как Defray777.

    На этой неделе RansomExx привлекает большое внимание из-за продолжающихся атак на правительственные сети Бразилии и предыдущих атак на Министерство транспорта Техаса (TxDOT), Konica Minolta, IPG Photonics и Tyler Technologies.

    Версия RansomExx для Linux

    По словам Касперского, при нацеливании на серверы Linux операторы RansomExx развернут исполняемый файл ELF с именем svc-new, используемый для шифрования сервера жертвы.

    «После первоначального анализа мы заметили сходство в коде троянца, тексте заметок о выкупе и общем подходе к вымогательству, из которого можно предположить, что на самом деле мы столкнулись с Linux-сборкой ранее известного семейства вымогателей RansomEXX», - говорят исследователи «Лаборатории Касперского». говорится в их отчете.

    В исполняемый файл Linux встроены публичный ключ шифрования RSA-4096, записка о выкупе и расширение, названное в честь клиента, которое будет добавлено ко всем зашифрованным файлам.

    В отличие от версии для Windows, Kaspersky заявляет, что версия для Linux - это программа-вымогатель без излишеств. Он не содержит кода для завершения процессов, включая программное обеспечение безопасности, не стирает свободное пространство, как это делает версия для Windows, и не взаимодействует с сервером управления и контроля.

    Если жертва заплатит выкуп, она получит дешифратор как для Linux, так и для Windows с соответствующим закрытым ключом RSA-4096 и зашифрованным расширением файла, встроенным в исполняемый файл.

    Версия для Linux называется decryptor64 и представляет собой дешифратор, управляемый из командной строки

    Фабиан Восар, технический директор компании Emsisoft, занимающейся кибербезопасностью, сказал BleepingComputer, что впервые увидел, что RansomExx использует версию Linux для атак в июле 2020 года, но, возможно, использовался и раньше.

    RansomExx - не первая программа-вымогатель, создавшая версии для Linux. В прошлом Pysa (Menispoza), Snatch и PureLocker также распространяли варианты Linux.

    https://www.bleepingcomputer.com/news/security/ransomexx-ransomware-also-encrypts-linux-systems/
  • Украинская и французская полиция задержали участников программы-вымогателя Egregor

    egregor-header.jpg

    Сообщается, что совместная операция правоохранительных органов Франции и Украины привела к аресту нескольких участников операции по вымогательству Egregor в Украине.

    Как сначала сообщил France Inter, во вторник правоохранительные органы произвели аресты после того, как французские власти смогли отследить выплаты выкупа лицам, находящимся в Украине.

    Считается, что арестованные являются филиалами Egregor, чьей задачей было взломать корпоративные сети и развернуть программы-вымогатели. France Inter также сообщает, что некоторые люди оказали материально-техническую и финансовую поддержку.

    Взлет и падение Эгрегора

    Egregor работает как программа-вымогатель как услуга (RaaS), где аффилированные лица вступают в партнерские отношения с разработчиками программ-вымогателей для проведения атак и разделения выкупа.

    В таких партнерствах разработчики программ-вымогателей несут ответственность за разработку вредоносного ПО и запуск платежного сайта. В то же время филиалы несут ответственность за взлом сетей жертв и развертывание программ-вымогателей.

    Egregor запустился в середине сентября, когда одна из крупнейших групп, известная как Maze, начала сворачивать свою деятельность.

    В то время злоумышленники сообщили BleepingComputer, что филиалы Maze перешли на Egregor RaaS, что позволило запустить новую операцию вымогателей с помощью опытных и квалифицированных хакеров.

    В ноябре кибергруппа объединилась с вредоносным ПО Qbot, чтобы получить доступ к сетям жертв, что еще больше увеличило объем атак.


    https://www.bleepingcomputer.com/news/security/egregor-ransomware-members-arrested-by-ukrainian-french-police/
Войдите или Зарегистрируйтесь чтобы комментировать.