Шифровирусы шумной толпою...

12346»

Комментарии

  • Новый шифровальщик от REvil нацелен на виртуальные машины ESXi

    Операторы REvil теперь использует шифровальщик под Linux, который нацеливается и шифрует виртуальные машины Vmware ESXi.

    По мере того, как предприятия переходят на виртуальные машины для упрощения резервного копирования, управления устройствами и эффективного использования ресурсов, кибергруппы все чаще создают собственные инструменты для массового шифрования хранилищ, используемых виртуальными машинами.

    В мае Елисей Богуславский из Advanced Intel поделился сообщением на форуме о работе REvil, в котором они подтвердили, что выпустили версию своего шифратора для Linux, которая также может работать на устройствах NAS.

    Сегодня исследователь безопасности MalwareHunterTeam обнаружил версию вымогателя REvil для Linux (также известную как Sodinokibi), которая также нацелена на серверы ESXi.

    Виталий Кремез из Advanced Intel, который проанализировал новый вариант REvil Linux, сказал BleepingComputer, что это исполняемый файл ELF64 и включает те же параметры конфигурации, что и более распространенный исполняемый файл Windows.

    Кремез заявляет, что это первый известный случай, когда вариант Linux стал общедоступным с момента его выпуска.

    При выполнении на сервере злоумышленник может указать путь для шифрования и включить тихий режим, как показано в приведенных ниже инструкциях по использованию.
    Usage example: elf.exe --path /vmfs/ --threads 5
    without --path encrypts current dir
    --silent (-s) use for not stoping VMs mode
    !!!BY DEFAULT THIS SOFTWARE USES 50 THREADS!!!

    При выполнении на серверах ESXi он запускает инструмент командной строки esxcli для вывода списка всех работающих виртуальных машин ESXi и их завершения.
    esxcli --formatter=csv --format-param=fields=="WorldID,DisplayName" vm process list | awk -F ""*,"*" '{system("esxcli vm process kill --type=force --world-id=" $1)}'

    Эта команда используется для закрытия файлов диска виртуальной машины (VMDK), хранящихся в папке / vmfs /, чтобы вредоносная программа-вымогатель REvil могла зашифровать файлы без их блокировки ESXi.

    Как объяснил технический директор Emsisoft Фабиан Восар, если виртуальная машина не будет правильно закрыта перед шифрованием файла, это может привести к повреждению данных.

    Выбирая таким образом виртуальные машины, REvil может зашифровать сразу несколько серверов с помощью одной команды.

    Восар сообщил, что другие операторы программам-вымогателей, таких как Babuk, RansomExx / Defray, Mespinoza, GoGoogle, DarkSide и Hellokitty, также создали шифровальщики Linux для нацеливания на виртуальные машины ESXi.

    «Причина, по которой большинство групп программ-вымогателей внедрили версию своих программ-вымогателей для Linux, состоит в том, чтобы нацеливаться именно на ESXi, - сказал Восар.

    https://www.bleepingcomputer.com/news/security/revil-ransomwares-new-linux-encryptor-targets-esxi-virtual-machines/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано 2 июл PM
    Babuk Ransomware вернулась и использует новую версию в корпоративных сетях

    Объявив о выходе из бизнеса программ-вымогателей в пользу вымогательства кражи данных, кибергрупаа Бабука, похоже, вернулась к своей старой привычке шифровать корпоративные сети.

    Преступники в настоящее время используют новую версию своей вредоносной программы для шифрования файлов и перенесли операцию на новый сайт утечки, на котором перечислены несколько жертв.

    все еще в игре

    Группа Babuk стала известна в начале года, но, по словам группы, их атаки начались в середине октября 2020 года, нацелены на компании по всему миру и требуют выкупа, как правило, в размере от 60 000 до 85 000 долларов в биткойн-криптовалюте. В некоторых случаях жертв просили расшифровать данные у сотен тысяч.

    Одна из их самых известных жертв - Управление столичной полиции Вашингтона (округ Колумбия). Эта атака, вероятно, подтолкнула злоумышленника к объявлению о своем уходе из бизнеса вымогателей только для того, чтобы принять другую модель вымогательства, которая не включала шифрование.

    Групаа также объявила о планах выпустить свое вредоносное ПО, чтобы другие киберпреступники могли начать операцию по использованию программы-вымогателя как услуги. Злоумышленник сдержал свое обещание и опубликовал свой конструктор - инструмент, который генерирует настраиваемые программы-вымогатели.

    Исследователь безопасности Кевин Бомонт нашел его на VirusTotal и поделился информацией, чтобы помочь сообществу информационных технологий в обнаружении и дешифровании.

    После закрытия в апреле группа взяла название PayLoad Bin, но их сайт утечки малоактивен. Вместо этого в темной сети появился новый сайт утечки информации, содержащий маркировку программы-вымогателя Babuk.

    На сайте перечислено менее пяти жертв, которые отказались платить выкуп и подверглись атаке с помощью второй версии вредоносного ПО.

    Похоже, что Бабук не отказался от игры с шифрованием-вымогательством. Они выпустили только старую версию своего вредоносного ПО и создали новую, чтобы вернуться в бизнес с программами-вымогателями.

    Похоже, что группа Бабука не готова отказаться от шифрования файлов и продолжит концентрироваться на корпоративных сетях для более крупных платежей.

    https://www.bleepingcomputer.com/news/security/babuk-ransomware-is-back-uses-new-version-on-corporate-networks/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Group-IB: Тактики, техники и процедуры партнеров REvil


    1.Рекомендации по обнаружению: отслеживайте, как WScript.exe запускает скрипты из необычных мест, выполняет процессы cmd.exe/powershell.exe или же осуществляет внешние сетевые подключения.

    2. Как и многие другие операторы программ-вымогателей, партнеры REvil использовали серийное вредоносное ПО для получения первоначального доступа к целевым сетям. Двумя свежими примерами являются IcedID и Qakbot — это ПО уже давно используется в атаках, связанных с программами-вымогателями.

    Рекомендации по обнаружению: отслеживайте события, связанные с созданием таких подозрительных процессов, как rundll32.exe, regsvr32.exe или mshta.exe, с помощью winword.exe или excel.exe. Обратите особое внимание на rundll32.exe и regsvr32.exe, которые запускают файлы без расширения .dll.

    3. Рекомендации по обнаружению: постоянные библиотеки DLL для обоих троянов (IcedID и Qakbot) обычно находятся в подпапках профиля пользователя, поэтому вы можете обнаружить rundll32.exe или regsvr32.exe, запускающие подозрительные библиотеки DLL из таких мест.

    4. Рекомендации по обнаружению: как правило, между первым успешным несанкционированным доступом и доступом, с которого начинается фактическая пост-эксплуатация, проходит некоторое время. Поэтому, если вы не используете многофакторную аутентификацию для общедоступных RDS и VPN, убедитесь, что ваша команда успешно отслеживает входы в систему из необычных мест.

    5. Двумя наиболее распространенными инструментами сетевого сканирования, обнаруженными командой Group-IB в рамках реагирования на инциденты, стали Advanced IP Scanner и SoftPerfect Network Scanner. В некоторых случаях партнеры загружали эти инструменты прямо с официальных сайтов, используя взломанный хост.

    Рекомендации по обнаружению: злоумышленники редко переименовывают инструменты сетевого сканирования, поэтому можно легко искать имена файлов. А если такие инструменты все-таки были переименованы, стоит сосредоточиться на названиях и описаниях продуктов, которые по-прежнему позволяют их обнаруживать.

    6.Во многих случаях этап разведки включал в себя не только сетевое сканирование. Обычно партнерам приходится собирать информацию об Active Directory, поэтому, в процессе расследования довольно часто можно обнаружить свидетельства использования таких инструментов, как AdFind, ADRecon и Sharphound.

    Рекомендации по обнаружению: популярные инструменты разведки Active Directory, которые обычно используются партнерами REvil, имеют очень типичные аргументы командной строки, которые можно использовать в процессе обнаружения.

    7. Рекомендации по обнаружению: партнеры REvil часто используют различные встроенные инструменты для сбора информации о целевой сети. Большинство из них редко используются системными и сетевыми администраторами, поэтому обнаружить необычные процессы должно быть легко.

    8. Говоря о техниках, которые партнеры REvil используют с целью избежать обнаружения, стоит отметить, что злоумышленники не пытаются отключить системы безопасности. Они предпочитают переводить их в режим "обнаружения", чтобы вредоносные инструменты не были заблокированы. Такой подход позволяет злоумышленникам использовать очень распространенные и легко обнаруживаемые средства для дампинга учетных данных, например, Mimikatz и LaZagne. В некоторых случаях преступники хотели быть более скрытными и использовали ProcDump, чтобы получить дамп процесса LSASS.

    Еще один распространенный способ получения доступа к учетным данным, использованный в некоторых инцидентах, — поиск паролей в различных файлах пользователей, к примеру, в текстовых документах.

    9. Злоумышленники используют самые разные инструменты пост-эксплуатации:

    Cobalt Strike
    Metasploit
    CrackMapExec
    PowerShell Empire
    Impacket

    Все вышеупомянутые инструменты также позволяют партнерам REvil осуществлять горизонтальное перемещение, особенно если они уже собрали учетные данные высокого порядка.

    Рекомендации по обнаружению: как правило, злоумышленники не склонны прибегать к необычным техникам, когда они используют инструменты пост-эксплуатации. Поэтому если вы сосредоточитесь на обычных аргументах командной строки, типичных для Cobalt Strike, PowerShell Empire и другого вредоносного ПО, то вы, скорее всего, сумеете успешно их обнаружить.

    10. Партнеры REvil печально известны тем, что успевают извлечь данные до фактического развертывания программы-вымогателя. Обычно преступники используют WinSCP. Во многих случаях они просто устанавливают его на сервер и используют протокол SMB для доступа к интересующим данным на других хостах, отправляя их на серверы, находящиеся под контролем злоумышленников.

    Помимо этого, преступники используют приложения, связанные с облачным хранилищем, к примеру, MEGASync. В то же время они могут использовать веб-браузер для доступа к аналогичным облачным хранилищам и последующей кражи данных.

    Рекомендации по обнаружению: отслеживайте установку необычных приложений, которые потенциально могут быть использованы для кражи данных, например, клиенты FTP/SFTP и облачных хранилищ. Помимо этого, стоит обращать внимание на подключение к веб-сайтам, связанным с облачным хранилищем, которое было произведено из необычных мест.

    https://blog.group-ib.ru/revil
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано 19 июл PM
    Campbell Conroy & O'Neil, P.C. (Campbell), американская юридическая фирма, консультирующая десятки компаний из списка Fortune 500 и Global 500, раскрыла утечку данных после атаки программы-вымогателя в феврале 2021 года.

    В список клиентов Кэмпбелла входят известные компании из различных секторов промышленности, включая автомобилестроение, авиацию, энергетику, страхование, фармацевтику, розничную торговлю, гостиничный бизнес и транспорт.

    Некоторые из его нынешних и прошлых клиентов включают Exxon, Apple, Mercedes Benz, Boeing, Home Depot, British Airways, Dow Chemical, Allianz Insurance, Universal Health Services, Marriott International, Johnson & Johnson, Pfizer, Time Warner и многие другие.

    «27 февраля 2021 года Кэмпбелл стало известно о необычной активности в своей сети», - сообщила юридическая фирма в опубликованном ранее сегодня пресс-релизе.

    «Кэмпбелл провел расследование и установил, что на сеть воздействовали программы-вымогатели, которые препятствовали доступу к определенным файлам в системе».

    Компания наняла сторонних судебно-медицинских экспертов для расследования инцидента после обнаружения атаки и уведомила ФБР о нарушении безопасности.

    Кэмпбелл выпустил пресс-релиз с уведомлением, поскольку расследование установило, что к информации, касающейся пострадавших лиц, получили доступ злоумышленники, стоящие за атакой программы-вымогателя.

    Хотя нет четких доказательств того, что операторы программ-вымогателей получают доступ к конкретной информации о каждом потенциально уязвимом человеке, Кэмпбелл подтвердил, что затронутые устройства содержат различные типы данных.

    Как выяснил Кэмпбелл,
    злоумышленники могли получить доступ к «именам определенных лиц, датам рождения, номерам водительских прав / идентификационным номерам штата, информации о финансовых счетах, номерам социального страхования, номерам паспортов, информации о платежных картах, медицинской информации, информации о медицинском страховании и т.д. биометрические данные и / или учетные данные онлайн-аккаунта (т. е. имена пользователей и пароли) ".

    https://www.bleepingcomputer.com/news/security/ransomware-hits-law-firm-counseling-fortune-500-global-500-companies/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано 28 июл PM
    LockBit Ransomware теперь шифрует домены Windows с помощью групповых политик

    Обнаружена новая версия программы-вымогателя LockBit 2.0, которая автоматизирует шифрование домена Windows с помощью групповых политик Active Directory.

    Операция LockBit была запущена в сентябре 2019 года как RAAS, при которой злоумышленники нанимаются для взлома сетей и шифрования устройств.

    В свою очередь, привлеченные партнеры зарабатывают 70-80% выкупа, а разработчики LockBit оставляют себе остальное.

    На протяжении многих лет операции с программами-вымогателями были очень активными, представитель кибергруппы продвигал эту деятельность и оказывал поддержку на хакерских форумах.

    После того, как темы о программах-вымогателях были запрещены на хакерских форумах, LockBit начала продвигать новую операцию RAAS LockBit 2.0 на своем сайте утечки данных.

    lockbit-affiliate-program.jpg

    В новую версию LockBit включены многочисленные расширенные функции, две из которых описаны ниже.
    Использует обновление групповой политики для шифрования сети

    LockBit 2.0 предлагает длинный список функций, многие из которых в прошлом использовались другими программами-вымогателями.

    Однако осталась одна продвигаемая функция, разработчики которой утверждают, что автоматизировали распространение программ-вымогателей по всему домену Windows без использования скриптов.

    Когда злоумышленники взламывают сеть и, наконец, получают контроль над контроллером домена, они используют стороннее программное обеспечение для развертывания сценариев, отключающих антивирус, а затем запускают программу-вымогатель на машинах в сети.

    В образцах вымогателя LockBit 2.0, обнаруженного MalwareHunterTeam и проанализированного BleepingComputer и Виталием Кремезом, злоумышленники автоматизировали этот процесс, так что вымогатель распространяется по всему домену при запуске на контроллере домена.

    При запуске программа-вымогатель создает новые групповые политики на контроллере домена, которые затем передаются на каждое устройство в сети.

    Эти политики отключают защиту в реальном времени Microsoft Defender, предупреждения, отправку образцов в Microsoft и действия по умолчанию при обнаружении вредоносных файлов,
    LockBit 2.0 также включает функцию, ранее использовавшуюся операцией Egregor Ransomware, которая распечатывает записку о выкупе на всех сетевых принтерах.

    Когда программа-вымогатель завершит шифрование устройства, она будет многократно печатать записку о выкупе на всех подключенных сетевых принтерах, чтобы привлечь внимание жертвы,

    https://www.bleepingcomputer.com/news/security/lockbit-ransomware-now-encrypts-windows-domains-using-group-policies/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Grief Ransomware получила ребрендинг DoppelPaymer

    После периода почти полной активности вымогатель DoppelPaymer осуществил ребрендинг, получив название Grief (также известного как Pay or Grief).

    Неясно, стоит ли кто-нибудь из первоначальных разработчиков по-прежнему за этой программой-вымогателем как услуга (RaaS), но ключи, обнаруженные исследователями безопасности, указывают на продолжение «проекта».

    Активность DoppelPaymer начала снижаться в середине мая, примерно через неделю после атаки DarkSide на Colonial Pipeline, одного из крупнейших операторов топливных трубопроводов в США.

    Поскольку с 6 мая на их сайте утечки не было никаких обновлений, похоже, DoppelPaymer сделала шаг назад, ожидая, пока внимание общественности к атакам программ-вымогателей рассеется.

    Однако исследователи безопасности в прошлом месяце указали, что Grief и DoppelPaymer являются именами одной и той же угрозы.

    Фабиан Восар из Emsisoft сообщил, что они использовали один и тот же зашифрованный формат файла и один и тот же канал распространения - ботнет Dridex.

    Несмотря на попытки злоумышленника сделать Grief похожей на отдельный RaaS, сходство с DoppelPaymer настолько разительно, что связь между ними невозможно игнорировать.

    Новости о программе-вымогателе Grief появились в начале июня, когда считалось, что это новая операция, но был обнаружен образец с датой компиляции 17 мая.

    Кроме того, две угрозы вымогателей основаны на очень похожем коде, который реализует «идентичные алгоритмы шифрования (2048-битный RSA и 256-битный AES), хеширование импорта и расчет смещения точки входа».

    Еще одно сходство заключается в том, что и Grief, и DoppelPaymer используют Общие правила защиты данных Европейского союза (GDPR) в качестве предупреждения о том, что жертвам, не уплачивающим деньги, все равно придется столкнуться с судебными санкциями из-за нарушения.

    Grief перешла на криптовалюту Monero, что может быть защитной мерой от возможных действий правоохранительных органов, которые могут привести к изъятию уже собранных выкупных денег.

    https://www.bleepingcomputer.com/news/security/grief-ransomware-operation-is-doppelpaymer-rebranded/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано 02:25 PM
    BlackMatter ransomware восстанавливается из пепла DarkSide, REvil

    Новая кибергруппа под названием BlackMatter покупает доступ к корпоративным сетям, утверждая, что включает в себя лучшие функции известных и ныне несуществующих операций REvil и DarkSide.

    В сообщении злоумышленник заявил, что хочет купить доступ к сетям в США, Канаде, Австралии и Великобритании, за исключением сетей, связанных с медицинскими и государственными организациями.

    Они также поделились, что готовы потратить от 3000 до 100000 долларов на каждую сеть, которая соответствовала следующим критериям:

    Выручка 100 миллионов долларов и более.
    В сети должно быть 500-15 000 устройств.
    Это должна быть новая сеть, на которую другие злоумышленники еще не нацелились.

    В дополнение к публикации информации о своей деятельности, BlackMatter заявляет, что они не будут нацелены на организации в следующих отраслях:

    Больницы.
    Объекты критической инфраструктуры (атомные электростанции, электростанции, водоочистные сооружения).
    Нефтегазовая промышленность (трубопроводы, нефтеперерабатывающие заводы).
    Оборонная промышленность.
    Некоммерческие компании.
    Государственный сектор.

    Recorded Future сообщает, что исполняемые файлы программ-вымогателей имеют различные форматы, поэтому они могут шифровать различные операционные системы и архитектуру устройств.

    «Программа-вымогатель предоставляется для нескольких различных версий операционных систем и архитектур и доступна в различных форматах, включая вариант Windows с поддержкой SafeMode (EXE / Reflective DLL / PowerShell) и вариант Linux с поддержкой NAS: Synology, OpenMediaVault, FreeNAS (TrueNAS) », - сообщает Recorded Future.

    Согласно BlackMatter, вариант вымогателя Windows был успешно протестирован на Windows Server 2003+ x86 / x64 и Windows 7+ x64 / x86. Вариант вымогателя Linux был успешно протестирован на ESXI 5+, Ubuntu, Debian и CentOs. Поддерживаемые файловые системы для Linux включают VMFS, VFFS, NFS, VSAN ".

    Восстановление из пепла DarkSide и REvil?

    Информация, обнаруженная исследователями в области безопасности, а также сходство веб-сайтов и партнеров могут указывать на то, что BlackMatter нанял или был создан злоумышленниками, которые ранее участвовали в операциях вымогателей DarkSide и REvil.

    О закрытии DarkSide впервые сообщил публичный представитель REvil, Unknown, который разместил об этом на хакерском форуме.

    Два месяца спустя настала очередь REvil закрыться после массированной атаки на поставщиков управляемых услуг по всему миру с помощью уязвимости Kaseya VSA нулевого дня.

    Как и DarkSide, REvil испытывал сильное давление со стороны правительства США и международных правоохранительных органов.

    Recorded Future также сообщает, что BlackMatter заявила: «Проект вобрал в себя лучшие функции DarkSide, REvil и LockBit».

    https://www.bleepingcomputer.com/news/security/blackmatter-ransomware-gang-rises-from-the-ashes-of-darkside-revil/

    Фабиан Восар:
    Изучив просочившийся двоичный код дешифратора BlackMatter, я убедился, что мы имеем дело с ребрендингом Darkside. Криптографические подпрограммы в значительной степени являются точной копией их реализации как RSA, так и Salsa20, включая использование настраиваемой матрицы.


    Ребрендинг от DarkSide также объясняет причину, по которой новая группа BlackMatter не будет нацелена на «нефтегазовую промышленность (трубопроводы, нефтеперерабатывающие заводы)», что привело к их предыдущему краху.

    К сожалению, это высококвалифицированная группа, ориентирована на несколько архитектур устройств, включая серверы Windows, Linux и ESXi.

    В связи с этим нам нужно будет следить за этой новой группой, поскольку они обязательно будут атаковать хорошо известные цели в будущем.

    https://www.bleepingcomputer.com/news/security/darkside-ransomware-gang-returns-as-new-blackmatter-operation/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.