Шифровирусы шумной толпою...

12346»

Комментарии

  • Новый шифровальщик от REvil нацелен на виртуальные машины ESXi

    Операторы REvil теперь использует шифровальщик под Linux, который нацеливается и шифрует виртуальные машины Vmware ESXi.

    По мере того, как предприятия переходят на виртуальные машины для упрощения резервного копирования, управления устройствами и эффективного использования ресурсов, кибергруппы все чаще создают собственные инструменты для массового шифрования хранилищ, используемых виртуальными машинами.

    В мае Елисей Богуславский из Advanced Intel поделился сообщением на форуме о работе REvil, в котором они подтвердили, что выпустили версию своего шифратора для Linux, которая также может работать на устройствах NAS.

    Сегодня исследователь безопасности MalwareHunterTeam обнаружил версию вымогателя REvil для Linux (также известную как Sodinokibi), которая также нацелена на серверы ESXi.

    Виталий Кремез из Advanced Intel, который проанализировал новый вариант REvil Linux, сказал BleepingComputer, что это исполняемый файл ELF64 и включает те же параметры конфигурации, что и более распространенный исполняемый файл Windows.

    Кремез заявляет, что это первый известный случай, когда вариант Linux стал общедоступным с момента его выпуска.

    При выполнении на сервере злоумышленник может указать путь для шифрования и включить тихий режим, как показано в приведенных ниже инструкциях по использованию.
    Usage example: elf.exe --path /vmfs/ --threads 5
    without --path encrypts current dir
    --silent (-s) use for not stoping VMs mode
    !!!BY DEFAULT THIS SOFTWARE USES 50 THREADS!!!

    При выполнении на серверах ESXi он запускает инструмент командной строки esxcli для вывода списка всех работающих виртуальных машин ESXi и их завершения.
    esxcli --formatter=csv --format-param=fields=="WorldID,DisplayName" vm process list | awk -F ""*,"*" '{system("esxcli vm process kill --type=force --world-id=" $1)}'

    Эта команда используется для закрытия файлов диска виртуальной машины (VMDK), хранящихся в папке / vmfs /, чтобы вредоносная программа-вымогатель REvil могла зашифровать файлы без их блокировки ESXi.

    Как объяснил технический директор Emsisoft Фабиан Восар, если виртуальная машина не будет правильно закрыта перед шифрованием файла, это может привести к повреждению данных.

    Выбирая таким образом виртуальные машины, REvil может зашифровать сразу несколько серверов с помощью одной команды.

    Восар сообщил, что другие операторы программам-вымогателей, таких как Babuk, RansomExx / Defray, Mespinoza, GoGoogle, DarkSide и Hellokitty, также создали шифровальщики Linux для нацеливания на виртуальные машины ESXi.

    «Причина, по которой большинство групп программ-вымогателей внедрили версию своих программ-вымогателей для Linux, состоит в том, чтобы нацеливаться именно на ESXi, - сказал Восар.

    https://www.bleepingcomputer.com/news/security/revil-ransomwares-new-linux-encryptor-targets-esxi-virtual-machines/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано 19 сен PM
    Babuk Ransomware вернулась и использует новую версию в корпоративных сетях

    Объявив о выходе из бизнеса программ-вымогателей в пользу вымогательства кражи данных, кибергрупаа Бабука, похоже, вернулась к своей старой привычке шифровать корпоративные сети.

    Преступники в настоящее время используют новую версию своей вредоносной программы для шифрования файлов и перенесли операцию на новый сайт утечки, на котором перечислены несколько жертв.

    все еще в игре

    Группа Babuk стала известна в начале года, но, по словам группы, их атаки начались в середине октября 2020 года, нацелены на компании по всему миру и требуют выкупа, как правило, в размере от 60 000 до 85 000 долларов в биткойн-криптовалюте. В некоторых случаях жертв просили расшифровать данные у сотен тысяч.

    Одна из их самых известных жертв - Управление столичной полиции Вашингтона (округ Колумбия). Эта атака, вероятно, подтолкнула злоумышленника к объявлению о своем уходе из бизнеса вымогателей только для того, чтобы принять другую модель вымогательства, которая не включала шифрование.

    Групаа также объявила о планах выпустить свое вредоносное ПО, чтобы другие киберпреступники могли начать операцию по использованию программы-вымогателя как услуги. Злоумышленник сдержал свое обещание и опубликовал свой конструктор - инструмент, который генерирует настраиваемые программы-вымогатели.

    Исследователь безопасности Кевин Бомонт нашел его на VirusTotal и поделился информацией, чтобы помочь сообществу информационных технологий в обнаружении и дешифровании.

    После закрытия в апреле группа взяла название PayLoad Bin, но их сайт утечки малоактивен. Вместо этого в темной сети появился новый сайт утечки информации, содержащий маркировку программы-вымогателя Babuk.

    На сайте перечислено менее пяти жертв, которые отказались платить выкуп и подверглись атаке с помощью второй версии вредоносного ПО.

    Похоже, что Бабук не отказался от игры с шифрованием-вымогательством. Они выпустили только старую версию своего вредоносного ПО и создали новую, чтобы вернуться в бизнес с программами-вымогателями.

    Похоже, что группа Бабука не готова отказаться от шифрования файлов и продолжит концентрироваться на корпоративных сетях для более крупных платежей.

    https://www.bleepingcomputer.com/news/security/babuk-ransomware-is-back-uses-new-version-on-corporate-networks/

    +
    !!!! REvil Ransomware поразила сотни компаний в результате атаки цепочки поставок MSP!!!!
    Массовая атака REvil затрагивает нескольких поставщиков управляемых услуг и их клиентов через атаку цепочки поставок Kaseya, о которой сообщается.

    Начиная с полудня, REvil, также известная как Sodinokibi, нацелена на MSP с тысячами клиентов с помощью атаки на цепочку поставок Kaseya VSA.

    https://chklst.ru/discussion/1889/revil-ransomware-porazila-sotni-kompaniy-v-rezultate-ataki-cepochki-postavok-msp/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Group-IB: Тактики, техники и процедуры партнеров REvil


    1.Рекомендации по обнаружению: отслеживайте, как WScript.exe запускает скрипты из необычных мест, выполняет процессы cmd.exe/powershell.exe или же осуществляет внешние сетевые подключения.

    2. Как и многие другие операторы программ-вымогателей, партнеры REvil использовали серийное вредоносное ПО для получения первоначального доступа к целевым сетям. Двумя свежими примерами являются IcedID и Qakbot — это ПО уже давно используется в атаках, связанных с программами-вымогателями.

    Рекомендации по обнаружению: отслеживайте события, связанные с созданием таких подозрительных процессов, как rundll32.exe, regsvr32.exe или mshta.exe, с помощью winword.exe или excel.exe. Обратите особое внимание на rundll32.exe и regsvr32.exe, которые запускают файлы без расширения .dll.

    3. Рекомендации по обнаружению: постоянные библиотеки DLL для обоих троянов (IcedID и Qakbot) обычно находятся в подпапках профиля пользователя, поэтому вы можете обнаружить rundll32.exe или regsvr32.exe, запускающие подозрительные библиотеки DLL из таких мест.

    4. Рекомендации по обнаружению: как правило, между первым успешным несанкционированным доступом и доступом, с которого начинается фактическая пост-эксплуатация, проходит некоторое время. Поэтому, если вы не используете многофакторную аутентификацию для общедоступных RDS и VPN, убедитесь, что ваша команда успешно отслеживает входы в систему из необычных мест.

    5. Двумя наиболее распространенными инструментами сетевого сканирования, обнаруженными командой Group-IB в рамках реагирования на инциденты, стали Advanced IP Scanner и SoftPerfect Network Scanner. В некоторых случаях партнеры загружали эти инструменты прямо с официальных сайтов, используя взломанный хост.

    Рекомендации по обнаружению: злоумышленники редко переименовывают инструменты сетевого сканирования, поэтому можно легко искать имена файлов. А если такие инструменты все-таки были переименованы, стоит сосредоточиться на названиях и описаниях продуктов, которые по-прежнему позволяют их обнаруживать.

    6.Во многих случаях этап разведки включал в себя не только сетевое сканирование. Обычно партнерам приходится собирать информацию об Active Directory, поэтому, в процессе расследования довольно часто можно обнаружить свидетельства использования таких инструментов, как AdFind, ADRecon и Sharphound.

    Рекомендации по обнаружению: популярные инструменты разведки Active Directory, которые обычно используются партнерами REvil, имеют очень типичные аргументы командной строки, которые можно использовать в процессе обнаружения.

    7. Рекомендации по обнаружению: партнеры REvil часто используют различные встроенные инструменты для сбора информации о целевой сети. Большинство из них редко используются системными и сетевыми администраторами, поэтому обнаружить необычные процессы должно быть легко.

    8. Говоря о техниках, которые партнеры REvil используют с целью избежать обнаружения, стоит отметить, что злоумышленники не пытаются отключить системы безопасности. Они предпочитают переводить их в режим "обнаружения", чтобы вредоносные инструменты не были заблокированы. Такой подход позволяет злоумышленникам использовать очень распространенные и легко обнаруживаемые средства для дампинга учетных данных, например, Mimikatz и LaZagne. В некоторых случаях преступники хотели быть более скрытными и использовали ProcDump, чтобы получить дамп процесса LSASS.

    Еще один распространенный способ получения доступа к учетным данным, использованный в некоторых инцидентах, — поиск паролей в различных файлах пользователей, к примеру, в текстовых документах.

    9. Злоумышленники используют самые разные инструменты пост-эксплуатации:

    Cobalt Strike
    Metasploit
    CrackMapExec
    PowerShell Empire
    Impacket

    Все вышеупомянутые инструменты также позволяют партнерам REvil осуществлять горизонтальное перемещение, особенно если они уже собрали учетные данные высокого порядка.

    Рекомендации по обнаружению: как правило, злоумышленники не склонны прибегать к необычным техникам, когда они используют инструменты пост-эксплуатации. Поэтому если вы сосредоточитесь на обычных аргументах командной строки, типичных для Cobalt Strike, PowerShell Empire и другого вредоносного ПО, то вы, скорее всего, сумеете успешно их обнаружить.

    10. Партнеры REvil печально известны тем, что успевают извлечь данные до фактического развертывания программы-вымогателя. Обычно преступники используют WinSCP. Во многих случаях они просто устанавливают его на сервер и используют протокол SMB для доступа к интересующим данным на других хостах, отправляя их на серверы, находящиеся под контролем злоумышленников.

    Помимо этого, преступники используют приложения, связанные с облачным хранилищем, к примеру, MEGASync. В то же время они могут использовать веб-браузер для доступа к аналогичным облачным хранилищам и последующей кражи данных.

    Рекомендации по обнаружению: отслеживайте установку необычных приложений, которые потенциально могут быть использованы для кражи данных, например, клиенты FTP/SFTP и облачных хранилищ. Помимо этого, стоит обращать внимание на подключение к веб-сайтам, связанным с облачным хранилищем, которое было произведено из необычных мест.

    https://blog.group-ib.ru/revil
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано 19 июл PM
    Campbell Conroy & O'Neil, P.C. (Campbell), американская юридическая фирма, консультирующая десятки компаний из списка Fortune 500 и Global 500, раскрыла утечку данных после атаки программы-вымогателя в феврале 2021 года.

    В список клиентов Кэмпбелла входят известные компании из различных секторов промышленности, включая автомобилестроение, авиацию, энергетику, страхование, фармацевтику, розничную торговлю, гостиничный бизнес и транспорт.

    Некоторые из его нынешних и прошлых клиентов включают Exxon, Apple, Mercedes Benz, Boeing, Home Depot, British Airways, Dow Chemical, Allianz Insurance, Universal Health Services, Marriott International, Johnson & Johnson, Pfizer, Time Warner и многие другие.

    «27 февраля 2021 года Кэмпбелл стало известно о необычной активности в своей сети», - сообщила юридическая фирма в опубликованном ранее сегодня пресс-релизе.

    «Кэмпбелл провел расследование и установил, что на сеть воздействовали программы-вымогатели, которые препятствовали доступу к определенным файлам в системе».

    Компания наняла сторонних судебно-медицинских экспертов для расследования инцидента после обнаружения атаки и уведомила ФБР о нарушении безопасности.

    Кэмпбелл выпустил пресс-релиз с уведомлением, поскольку расследование установило, что к информации, касающейся пострадавших лиц, получили доступ злоумышленники, стоящие за атакой программы-вымогателя.

    Хотя нет четких доказательств того, что операторы программ-вымогателей получают доступ к конкретной информации о каждом потенциально уязвимом человеке, Кэмпбелл подтвердил, что затронутые устройства содержат различные типы данных.

    Как выяснил Кэмпбелл,
    злоумышленники могли получить доступ к «именам определенных лиц, датам рождения, номерам водительских прав / идентификационным номерам штата, информации о финансовых счетах, номерам социального страхования, номерам паспортов, информации о платежных картах, медицинской информации, информации о медицинском страховании и т.д. биометрические данные и / или учетные данные онлайн-аккаунта (т. е. имена пользователей и пароли) ".

    https://www.bleepingcomputer.com/news/security/ransomware-hits-law-firm-counseling-fortune-500-global-500-companies/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано 28 июл PM
    LockBit Ransomware теперь шифрует домены Windows с помощью групповых политик

    Обнаружена новая версия программы-вымогателя LockBit 2.0, которая автоматизирует шифрование домена Windows с помощью групповых политик Active Directory.

    Операция LockBit была запущена в сентябре 2019 года как RAAS, при которой злоумышленники нанимаются для взлома сетей и шифрования устройств.

    В свою очередь, привлеченные партнеры зарабатывают 70-80% выкупа, а разработчики LockBit оставляют себе остальное.

    На протяжении многих лет операции с программами-вымогателями были очень активными, представитель кибергруппы продвигал эту деятельность и оказывал поддержку на хакерских форумах.

    После того, как темы о программах-вымогателях были запрещены на хакерских форумах, LockBit начала продвигать новую операцию RAAS LockBit 2.0 на своем сайте утечки данных.

    lockbit-affiliate-program.jpg

    В новую версию LockBit включены многочисленные расширенные функции, две из которых описаны ниже.
    Использует обновление групповой политики для шифрования сети

    LockBit 2.0 предлагает длинный список функций, многие из которых в прошлом использовались другими программами-вымогателями.

    Однако осталась одна продвигаемая функция, разработчики которой утверждают, что автоматизировали распространение программ-вымогателей по всему домену Windows без использования скриптов.

    Когда злоумышленники взламывают сеть и, наконец, получают контроль над контроллером домена, они используют стороннее программное обеспечение для развертывания сценариев, отключающих антивирус, а затем запускают программу-вымогатель на машинах в сети.

    В образцах вымогателя LockBit 2.0, обнаруженного MalwareHunterTeam и проанализированного BleepingComputer и Виталием Кремезом, злоумышленники автоматизировали этот процесс, так что вымогатель распространяется по всему домену при запуске на контроллере домена.

    При запуске программа-вымогатель создает новые групповые политики на контроллере домена, которые затем передаются на каждое устройство в сети.

    Эти политики отключают защиту в реальном времени Microsoft Defender, предупреждения, отправку образцов в Microsoft и действия по умолчанию при обнаружении вредоносных файлов,
    LockBit 2.0 также включает функцию, ранее использовавшуюся операцией Egregor Ransomware, которая распечатывает записку о выкупе на всех сетевых принтерах.

    Когда программа-вымогатель завершит шифрование устройства, она будет многократно печатать записку о выкупе на всех подключенных сетевых принтерах, чтобы привлечь внимание жертвы,

    https://www.bleepingcomputer.com/news/security/lockbit-ransomware-now-encrypts-windows-domains-using-group-policies/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Grief Ransomware получила ребрендинг DoppelPaymer

    После периода почти полной активности вымогатель DoppelPaymer осуществил ребрендинг, получив название Grief (также известного как Pay or Grief).

    Неясно, стоит ли кто-нибудь из первоначальных разработчиков по-прежнему за этой программой-вымогателем как услуга (RaaS), но ключи, обнаруженные исследователями безопасности, указывают на продолжение «проекта».

    Активность DoppelPaymer начала снижаться в середине мая, примерно через неделю после атаки DarkSide на Colonial Pipeline, одного из крупнейших операторов топливных трубопроводов в США.

    Поскольку с 6 мая на их сайте утечки не было никаких обновлений, похоже, DoppelPaymer сделала шаг назад, ожидая, пока внимание общественности к атакам программ-вымогателей рассеется.

    Однако исследователи безопасности в прошлом месяце указали, что Grief и DoppelPaymer являются именами одной и той же угрозы.

    Фабиан Восар из Emsisoft сообщил, что они использовали один и тот же зашифрованный формат файла и один и тот же канал распространения - ботнет Dridex.

    Несмотря на попытки злоумышленника сделать Grief похожей на отдельный RaaS, сходство с DoppelPaymer настолько разительно, что связь между ними невозможно игнорировать.

    Новости о программе-вымогателе Grief появились в начале июня, когда считалось, что это новая операция, но был обнаружен образец с датой компиляции 17 мая.

    Кроме того, две угрозы вымогателей основаны на очень похожем коде, который реализует «идентичные алгоритмы шифрования (2048-битный RSA и 256-битный AES), хеширование импорта и расчет смещения точки входа».

    Еще одно сходство заключается в том, что и Grief, и DoppelPaymer используют Общие правила защиты данных Европейского союза (GDPR) в качестве предупреждения о том, что жертвам, не уплачивающим деньги, все равно придется столкнуться с судебными санкциями из-за нарушения.

    Grief перешла на криптовалюту Monero, что может быть защитной мерой от возможных действий правоохранительных органов, которые могут привести к изъятию уже собранных выкупных денег.

    https://www.bleepingcomputer.com/news/security/grief-ransomware-operation-is-doppelpaymer-rebranded/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано 2 авг PM
    BlackMatter ransomware восстанавливается из пепла DarkSide, REvil

    Новая кибергруппа под названием BlackMatter покупает доступ к корпоративным сетям, утверждая, что включает в себя лучшие функции известных и ныне несуществующих операций REvil и DarkSide.

    В сообщении злоумышленник заявил, что хочет купить доступ к сетям в США, Канаде, Австралии и Великобритании, за исключением сетей, связанных с медицинскими и государственными организациями.

    Они также поделились, что готовы потратить от 3000 до 100000 долларов на каждую сеть, которая соответствовала следующим критериям:

    Выручка 100 миллионов долларов и более.
    В сети должно быть 500-15 000 устройств.
    Это должна быть новая сеть, на которую другие злоумышленники еще не нацелились.

    В дополнение к публикации информации о своей деятельности, BlackMatter заявляет, что они не будут нацелены на организации в следующих отраслях:

    Больницы.
    Объекты критической инфраструктуры (атомные электростанции, электростанции, водоочистные сооружения).
    Нефтегазовая промышленность (трубопроводы, нефтеперерабатывающие заводы).
    Оборонная промышленность.
    Некоммерческие компании.
    Государственный сектор.

    Recorded Future сообщает, что исполняемые файлы программ-вымогателей имеют различные форматы, поэтому они могут шифровать различные операционные системы и архитектуру устройств.

    «Программа-вымогатель предоставляется для нескольких различных версий операционных систем и архитектур и доступна в различных форматах, включая вариант Windows с поддержкой SafeMode (EXE / Reflective DLL / PowerShell) и вариант Linux с поддержкой NAS: Synology, OpenMediaVault, FreeNAS (TrueNAS) », - сообщает Recorded Future.

    Согласно BlackMatter, вариант вымогателя Windows был успешно протестирован на Windows Server 2003+ x86 / x64 и Windows 7+ x64 / x86. Вариант вымогателя Linux был успешно протестирован на ESXI 5+, Ubuntu, Debian и CentOs. Поддерживаемые файловые системы для Linux включают VMFS, VFFS, NFS, VSAN ".

    Восстановление из пепла DarkSide и REvil?

    Информация, обнаруженная исследователями в области безопасности, а также сходство веб-сайтов и партнеров могут указывать на то, что BlackMatter нанял или был создан злоумышленниками, которые ранее участвовали в операциях вымогателей DarkSide и REvil.

    О закрытии DarkSide впервые сообщил публичный представитель REvil, Unknown, который разместил об этом на хакерском форуме.

    Два месяца спустя настала очередь REvil закрыться после массированной атаки на поставщиков управляемых услуг по всему миру с помощью уязвимости Kaseya VSA нулевого дня.

    Как и DarkSide, REvil испытывал сильное давление со стороны правительства США и международных правоохранительных органов.

    Recorded Future также сообщает, что BlackMatter заявила: «Проект вобрал в себя лучшие функции DarkSide, REvil и LockBit».

    https://www.bleepingcomputer.com/news/security/blackmatter-ransomware-gang-rises-from-the-ashes-of-darkside-revil/

    Фабиан Восар:
    Изучив просочившийся двоичный код дешифратора BlackMatter, я убедился, что мы имеем дело с ребрендингом Darkside. Криптографические подпрограммы в значительной степени являются точной копией их реализации как RSA, так и Salsa20, включая использование настраиваемой матрицы.


    Ребрендинг от DarkSide также объясняет причину, по которой новая группа BlackMatter не будет нацелена на «нефтегазовую промышленность (трубопроводы, нефтеперерабатывающие заводы)», что привело к их предыдущему краху.

    К сожалению, это высококвалифицированная группа, ориентирована на несколько архитектур устройств, включая серверы Windows, Linux и ESXi.

    В связи с этим нам нужно будет следить за этой новой группой, поскольку они обязательно будут атаковать хорошо известные цели в будущем.

    https://www.bleepingcomputer.com/news/security/darkside-ransomware-gang-returns-as-new-blackmatter-operation/
    +
    https://id-ransomware.blogspot.com/2021/07/blackmatter-ransomware.html
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано 18 авг PM
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано 6 авг PM
    LockBit вербует инсайдеров для взлома корпоративных сетей

    LockBit 2.0 активно вербует корпоративных инсайдеров, чтобы помочь им взламывать и шифровать сети. Взамен инсайдеру обещаны выплаты в миллион долларов.

    Во многих случаях аффилированные лица покупают доступ к сетям у других сторонних пентестеров, а не взламывают сами компанию.

    С помощью LockBit 2.0 кибергруппа пытается удалить посредника и вместо этого нанять инсайдеров, чтобы им предоставили доступ к корпоративной сети.

    LockBit 2.0 обещает инсайдерам миллионы долларов

    В июне LockBit объявила о запуске своей новой программы-вымогателя LockBit 2.0 ransomware-as-a-service.

    Этот перезапуск включал переработанный дизайн сайтов Tor и многочисленные расширенные функции, включая автоматическое шифрование устройств в сети с помощью групповых политик.

    С этим перезапуском LockBit также изменил обои Windows, размещенные на зашифрованных устройствах, чтобы предложить «миллионы долларов» корпоративным инсайдерам, которые предоставляют доступ к сетям, в которых у них есть учетные записи.

    wallpaper.jpg

    Полный текст с отредактированной контактной информацией объясняет, что LockBit ищет RDP, VPN, учетные данные корпоративной электронной почты, которые они затем могут использовать для получения доступа к сети.

    Банда программ-вымогателей также заявляет, что отправит инсайдеру «вирус», который должен быть запущен на компьютере, что, вероятно, предоставит банде вымогателей удаленный доступ к сети.
    «Хотите заработать миллионы долларов?
    Наша компания получает доступ к сетям различных компаний, а также к инсайдерской информации, которая может помочь вам украсть самые ценные данные любой компании.
    Вы можете предоставить нам учетные данные для доступа к любой компании, например, логин и пароль к RDP, VPN, корпоративной почте и т. Д. Откройте наше письмо на свою электронную почту. Запустите предоставленный вирус на любом компьютере в вашей компании.
    Компании платят нам взыскание за расшифровку файлов и предотвращение утечки данных.
    Вы можете общаться с нами через мессенджер Tox
    хттп://tox.chat/download.html
    Используя мессенджер Tox, мы никогда не узнаем ваше настоящее имя, а это значит, что ваша конфиденциальность гарантирована.
    Если вы хотите с нами связаться, используйте ToxID: xxxx "

    https://www.bleepingcomputer.com/news/security/lockbit-ransomware-recruiting-insiders-to-breach-corporate-networks/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано 7 авг PM
    Производитель компьютерного оборудования GIGABYTE подвергся нападению RansomEXX

    Тайваньский производитель материнских плат пострадал от RansomEXX, которые угрожают опубликовать 112 ГБ украденных данных, если не будет уплачен выкуп.

    Gigabyte наиболее известна своими материнскими платами, но также производит другие компьютерные компоненты и оборудование, такие как видеокарты, серверы центров обработки данных, ноутбуки и мониторы.

    Атака произошла поздно вечером вторника в среду и вынудила компанию закрыть свои системы на Тайване. Инцидент также затронул несколько веб-сайтов компании, включая сайт поддержки и отдельные части тайваньского веб-сайта.

    На закрытой странице утечки злоумышленники утверждают, что украли 112 ГБ данных из внутренней сети Gigabyte, а также из репозитория Git American Megatrends,
    Мы скачали 112 ГБ (120 971 743 713 байт) ваших файлов и готовы ОПУБЛИКОВАТЬ их.

    Что нужно знать о RansomEXX

    Операция вымогателей RansomEXX первоначально началась под названием Defray в 2018 году, но в июне 2020 года была переименована в RansomEXX, когда они стали более активными.

    Как и другие операции с программами-вымогателями, RansomEXX может взломать сеть с помощью протокола удаленного рабочего стола, эксплойтов или украденных учетных данных.

    Получив доступ к сети, они будут собирать больше учетных данных, постепенно получая контроль над контроллером домена Windows. Во время этого бокового распространения по сети злоумышленники будут красть данные с незашифрованных устройств, которые используются в качестве рычага для вымогательства.

    RansomEXX не только нацелен на устройства Windows, но также создал шифровальщик Linux для шифрования виртуальных машин, на которых работают серверы VMware ESXi.

    https://www.bleepingcomputer.com/news/security/computer-hardware-giant-gigabyte-hit-by-ransomexx-ransomware/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано 19 сен PM
    Универсальный ключ дешифрования REvil Касеи просочился на хакерский форум

    Универсальный ключ дешифрования для атаки REvil на клиентов Касеи просочился на хакерских форумах, что позволило исследователям впервые увидеть загадочный ключ.
    2 июля кибергруппа REvil начала массированную атаку на поставщиков управляемых услуг по всему миру, используя уязвимость нулевого дня в приложении удаленного управления Kaseya VSA.

    После атаки злоумышленники потребовали выкуп в размере 70 миллионов долларов за универсальный дешифратор, с помощью которого можно было бы расшифровать всех жертв атаки.

    Однако кибергруппа REvil таинственным образом исчезла, и вскоре после этого платежные сайты и инфраструктура Tor были закрыты.

    Исчезновение группы помешало компаниям, которым, возможно, нужно было купить дешифратор, теперь не удалось этого сделать.

    22 июля Касея получил универсальный ключ дешифрования для атаки вымогателя от таинственной «доверенной третьей стороны» и начал распространять его среди пострадавших клиентов.

    Прежде чем поделиться дешифратором с клиентами, CNN сообщила, что Касея потребовала от них подписать соглашение о неразглашении, что может объяснить, почему ключ дешифрования не показывался до сих пор.

    Ключ дешифрования просочился на хакерский форум

    Вчера исследователь безопасности Pancak3 сообщил, что кто-то опубликовал на хакерском форуме скриншот того, что, по их словам, является универсальным дешифратором REvil.

    forum-post.jpg

    Этот пост связан со снимком экрана на GitHub, на котором показан дешифратор REvil, работающий при отображении хешированного ключа base64 master_sk. Этот ключ - «OgTD7co7NcYCoNj8NoYdPoR8nVFJBO5vs / kVkhelp2s =», как показано ниже.

    2wp4exepiv97.png

    Когда жертвы вымогателя REvil платят выкуп, они получают либо дешифратор, который работает для одного зашифрованного расширения файла, либо универсальный дешифратор, который работает для всех зашифрованных расширений файлов, используемых в конкретной кампании или атаке.

    На приведенном выше снимке экрана показан универсальный дешифратор REvil, который может расшифровать все расширения, связанные с атакой.

    Для ясности: хотя изначально предполагалось, что ключ дешифрования на этом скриншоте может быть главным «операторским» ключом для всех кампаний REvil, BleepingComputer подтвердил, что это только универсальный ключ дешифратора для жертв атаки Kaseya.

    Это также подтвердил технический директор Emsisoft и эксперт по программам-вымогателям Фабиан Восар

    BleepingComputer проверил утечку ключа, установив на универсальный дешифратор REvil исправление с ключом дешифрования, обнаруженным на скриншоте.
    (c2cf2118550a0fd7f81fe9913fe36be24c03a0ae5430b94557e0ee71c550a58c)

    Далее, была зашифрована виртуальную машина с помощью образца REvil, использованного в атаке Kaseya.
    (d55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e9f1e)

    Далее, BleepingComputer использовал пропатченный REvil Universal Decryptor для успешного дешифрования зашифрованных файлов.

    На других образцах REvil, которые накопились за последние два года декриптор не работал, что указывает на то, что он не является основным ключом дешифрования для всех жертв REvil.

    Непонятно, почему дешифратор Kaseya был размещен на хакерском форуме, который жертва вряд ли может разместить.

    Независимо от причин, по которым он был опубликован, для тех, кто следит за атакой программы-вымогателя Kaseya, это наш первый доступ к универсальному ключу дешифратора, который таинственным образом получил Kaseya.

    https://www.bleepingcomputer.com/news/security/kaseyas-universal-revil-decryption-key-leaked-on-a-hacking-forum/
    p.s.
    [DBG] core_init() - Program initialization
    [DBG] cfg:{"all": true, "master_sk": "OgTD7co7NcYCoNj8NoYdPoR8nVFJBO5vs/kVkhelp2s=", "ext": ["universal_tool_xxx_yyy"]}
    [DBG] start GUI
    [DBG] start decrypt FOLDER
    [DBG] DEC_DATA, c:\test\revil\personsfirm.png.4soa3 = fd92ed79c7c473d36f5170737e655fdb16781d1bb744e3e723c9618374d262e1deb365ab9100d3ecea9bc058844f014310b867af46a9652f617edfa6d613e8650aa601694611cdb33a31f23878ea4d628074425b7020ca426333787000b8d439a8133ae769b8e1817a88475bf4c2fc9bbc399612ef9f02c1ddc99cf6129591cede3208408d10eaad84ebb310f2a2976408045b5c08c6f616e4398b5096754849dafd38f1d8f4e1fd80c8d9d3914dea89c7450e8e4aeb3ce804a9e38ea1e649132f3cce9e59849d5e35593a7246063666f4ef31b7173925b8f6cc46a00000000000000000ce74a280
    [DBG] create:c:\test\revil\personsfirm.png.4soa3.BACKUP
    [DBG] open:c:\test\revil\personsfirm.png.4soa3
    [DBG] fin:c:\test\revil\personsfirm.png.4soa3:7298
    [DBG] rename:c:\test\revil\personsfirm.png.4soa3:c:\test\revil\personsfirm.png:OK
    [DBG] delete:c:\test\revil\personsfirm.png.4soa3.BACKUP
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Accenture подтверждает взлом после угроз утечки данных от программ-вымогателей LockBit

    Accenture, глобальный консалтинговый ИТ-гигант, якобы подвергся кибератаке с использованием программ-вымогателей со стороны банды вымогателей LockBit.

    Accenture - это ИТ-гигант, который, как известно, обслуживает широкий спектр отраслей, включая автомобили, банки, правительство, технологии, энергетику, телекоммуникации и многие другие.

    Accenture, оцениваемая в 44,3 миллиарда долларов, является одной из крупнейших консалтинговых компаний в мире, в которой работает около 569 000 сотрудников в 50 странах.
    Группа программ-вымогателей угрожает утечкой украденных данных

    Группа вымогателей, известная как LockBit 2.0, угрожает опубликовать данные о файлах, предположительно украденных у Accenture во время недавней кибератаки.

    Хотя LockBit не представила доказательств украденных данных, они заявляют, что готовы продать их любым заинтересованным сторонам.


    Похищено 6 ТБ файлов, требуется выкуп в размере 50 миллионов долларов

    В беседах, замеченных исследовательской группой Cyble, LockBit утверждает, что украла шесть терабайт данных у Accenture, и требует выкупа в размере 50 миллионов долларов.

    Злоумышленники утверждают, что получили доступ к сети Accenture через корпоративного «инсайдера».

    Источники, знакомые с атакой, сообщили, что Accenture подтвердила атаку программ-вымогателей, по крайней мере, одного поставщика CTI, и поставщик ИТ-услуг также находится в процессе уведомления большего числа клиентов.

    Кроме того, компания Hudson Rock, занимающаяся разведкой киберпреступлений, сообщила, что у Accenture было 2500 взломанных компьютеров, принадлежащих сотрудникам и партнерам.

    LockBit ранее поражал множество жертв, в том числе железнодорожную сеть Merseyrail в Великобритании.

    Ранее на этой неделе правительство Австралии предупредило об эскалации атак программ-вымогателей LockBit 2.0 после того, как было замечено, что группа активно вербует инсайдеров в компаниях, которые они планируют взломать, в обмен на вознаграждение в миллионы долларов.

    https://www.bleepingcomputer.com/news/security/accenture-confirms-hack-after-lockbit-ransomware-data-leak-threats/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано 25 авг PM
    Скрипт вымогателей показывает именно те файлы, которые им нужны

    Сценарий PowerShell, используемый операторами вымогателя Pysa, дает нам возможность взглянуть на типы данных, которые они пытаются украсть во время кибератаки.

    Когда операторы Ransomware взламывают сеть, они обычно начинают с ограниченного доступа к одному устройству.

    Затем они используют различные инструменты и эксплойты для кражи других учетных данных, используемых в домене Windows, или получения повышенных прав на разных устройствах.

    Получив доступ к контроллеру домена Windows, они ищут и крадут данные в сети перед шифрованием устройств.

    Злоумышленники используют украденные данные двумя способами.

    Первый - создать спрос на выкуп, основанный на доходах компании и наличии у них страховых полисов. Второй - запугать жертв, заставив их заплатить выкуп за похищенные данные.

    Поиск ценных данных

    Команда MalwareHunterTeam поделилась сценарием PowerShell с BleepingComputer, используемым операцией вымогателя Pysa для поиска и эксфильтрации данных с сервера.

    Этот сценарий разработан для сканирования каждого диска на предмет папок с данными, имена которых соответствуют определенным строкам на устройстве. Если папка соответствует критериям поиска, сценарий загрузит файлы папки на удаленный сервер путем перетаскивания под управлением злоумышленника.

    Особый интерес представляют 123 ключевых слова, которые ищет сценарий, которые дают нам представление о том, что именно злоумышленники считает ценным.

    Как и следовало ожидать, скрипт ищет файлы, связанные с финансовой или личной информацией компании, такие как аудит, банковская информация, учетные данные, налоговые формы, информация о студентах, номера социального страхования и документы SEC.

    Однако он также ищет более интригующие ключевые слова, которые могут быть особенно вредными для компании в случае утечки, например папки, содержащие слова «преступление», «расследование», «мошенничество», «бюро», «федеральный», «скрытый», «секретный», «незаконный» и «террор».

    Полный список из 123 ключевых слов, на которые ссылается скрипт злоумышленников, приведен в таблице ниже.
    941 confident Info RRHH
    1040 ; Crime; insider; saving
    1099 ; claim; Insurance; scans
    8822; Terror; investigation; sec
    9465; Confidential*Disclosure; IRS secret
    401K; contact; ITIN security
    4506-T; contr; K-1 studen
    ABRH; CPF; letter seed
    Audit; CRH; List Signed
    Addres; Transact; Login sin
    agreem; DDRH; mail soc
    Agreement*Disclosure; Demog; NDA SS#
    ARH; Detail; Numb SS-4
    Assignment; Disclosure*Agreement; Partn SSA
    balanc; Disclosure*Confidential; passport SSN
    bank; DRH; passwd Staf
    Bank*Statement; emplo; password statement
    Benef; Enrol; pay Statement*Bank
    billing; federal; payment SWIFT
    budget; Finan; payroll tax
    bureau; finance; person Taxpayer
    Brok; Form; Phone unclassified
    card; fraud; privacy Vend
    cash; government; privat W-2
    CDA; hidden; pwd w-4
    checking; hir; Recursos*Humanos W-7
    clandestine; HR; report W-8BEN
    compilation; Human; Resour w-9
    compromate; i-9; resurses*human W-9S
    concealed; illegal;RHO
    confid; important; routing

    Pysa - не единственный, кто ищет определенные файлы после взлома сети.

    Это еще раз показывает, насколько обеспечить адекватную защиту данных.

    https://www.bleepingcomputer.com/news/security/ransomware-gangs-script-shows-exactly-the-files-theyre-after/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано 3 сен PM
    Переведенное руководство по работе с программами-вымогателями Conti дает представление об атаках

    исследователи безопасности предоставили переведенный вариант, в котором представлена
    информация о методах атаки данной кибергруппы и тщательности инструкций, которые позволяют менее опытным участникам становиться филиалами программ-вымогателей Conti и поражать ценные цели.

    folder-listing.jpg

    Лингвисты, работающие с исследователями Cisco Talos, просмотрели просочившийся материал, чтобы предоставить версию на английском языке, которая точно описывает методы и инструменты.

    Сценарии атак, описанные в документах, были настолько тщательными, что, по словам исследователей, «даже злоумышленники-любители [могли] проводить разрушительные атаки программ-вымогателей».

    Среди «советов», представленных в руководствах, - как получить доступ администратора после взлома сети жертвы с помощью команд и инструментов для составления списка пользователей, особенно тех, которые имеют доступ к Active Directory.

    Также подробно описывается простая разведка, такая как проверка LinkedIn и других платформ социальных сетей для выявления сотрудников с привилегированным доступом, с примечанием, что эти методы лучше работают для компаний в США и Европе

    Инструменты и методы

    Самый популярный инструмент, описанный в просочившемся материале, - это фреймворк Cobalt Strike, сопровождаемый взломанной версией программного обеспечения 4.3.

    В инструкциях по использованию также упоминается об использовании уязвимости ZeroLogon (CVE-2020-1472). Другие критические ошибки, упомянутые в сборнике программ-вымогателей Conti, - это PrintNightmare (CVE-2021-1675, CVE-2021-34527) и EternalBlue (CVE-2017-0143 / 0148).

    Некоторые инструменты, подробно описанные противником, не являются тем, что исследователи Cisco обычно видят во время мероприятий по реагированию на инциденты:

    Armitage - графический интерфейс на основе Java для платформы тестирования на проникновение Metasploit
    SharpView - порт .NET для инструмента PowerView из набора инструментов PowerSploit Offensive на основе PowerShell.
    SharpChrome - для расшифровки логинов и файлов cookie в Chrome
    SeatBelt - собирает системные данные, такие как версия ОС, политика UAC, пользовательские папки

    Среди других инструментов и утилит командной строки, описанных в просочившихся документах, есть следующие:

    ADFind - инструмент запросов Active Directory
    Платформа PowerShell - для отключения Защитника Windows
    GMER - альтернатива для выявления решений безопасности и их отключения
    SMBAutoBrute - для перебора учетных записей в текущем домене.
    Kerberoasting - метод использования грубой силы для взлома хэша пароля Kerberos
    Mimikatz - для выгрузки паролей из памяти
    RouterScan - инструмент для обнаружения устройств в сети и извлечения паролей с помощью эксплойта или грубой силы.
    AnyDesk - приложение удаленного рабочего стола для настойчивости
    Atera - еще одна программа удаленного доступа

    Перед тем, как перейти к эксплуатации, аффилированным лицам предлагается узнать о доходах своей жертвы, просмотрев информацию из открытых источников.

    Утечка также включает видеоуроки, в основном на русском языке, в которых объясняется, как использовать PowerShell для проверки на проникновение, атак на Active Directory или как использовать SQL Server в домене Windows.

    Большая часть видеоуроков (Metasploit, PowerShell, атаки и защита WMI, сетевое тестирование на проникновение) для аффилированных лиц взяты из различных ресурсов безопасности, доступных в Интернете.

    Исследователи Cisco Talos считают, что переведенная версия просочившейся документации Conti поможет другим исследователям лучше понять тактику, методы и процедуры этого злоумышленника, а также других лиц, которые могут быть вдохновлены документацией.

    «Это возможность для защитников убедиться, что у них есть логика для обнаружения такого поведения или компенсирующие меры, помогающие снизить риск. Этот перевод следует рассматривать как возможность для защитников лучше понять, как действуют эти группы, и какие инструменты они обычно используют в этих атаках », - Cisco Talos

    Исследователи предоставляют переведенные отдельные тексты в ZIP-архиве, а также в PDF-файле. Краткое изложение материалов также доступно в Fortinet.

    https://www.bleepingcomputer.com/news/security/translated-conti-ransomware-playbook-gives-insight-into-attacks/

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано 8 сен PM
    Серверы вымогателя REvil загадочным образом возвращаются в сеть

    Dark Web серверы для работы REvil внезапно снова включились после почти двухмесячного отсутствия. Неясно, означает ли это возвращение их группы или серверы включаются правоохранительными органами.

    2 июля REvil, также известная как Sodinokibi, использовала уязвимость нулевого дня в программном обеспечении удаленного управления Kaseya VSA для шифрования примерно 60 поставщиков управляемых услуг (MSP) и более 1500 своих бизнес-клиентов.

    Затем REvil потребовал 5 миллионов долларов от MSP за дешифратор или 44 999 долларов за каждое зашифрованное расширение в отдельных компаниях.

    Revil также потребовала 70 миллионов долларов за главный ключ дешифрования для расшифровки всех жертв Касеи, но вскоре снизила цену до 50 миллионов долларов.

    После атаки кибергуппа столкнулась с растущим давлением со стороны правоохранительных органов.

    Вскоре после этого REvil исчезла, а все их серверы и инфраструктура Tor были отключены.

    По сей день неясно, что произошло, но жертвы программ-вымогателей, которые хотели вести переговоры, не могли этого сделать и не имели возможности восстанавливать файлы.

    Загадочным образом Касея позже получила главный ключ дешифрования для жертв атаки и заявила, что он был от доверенной третьей стороны.

    Инфраструктура REvil внезапно включается

    Сегодня и сайт оплаты / переговоров Tor, и сайт утечки данных Tor 'Happy Blog' от REvil внезапно возобновили работу.

    Самая последняя жертва на сайте утечки данных REvil была добавлена 8 июля 2021 года, всего за пять дней до загадочного исчезновения REvil.

    В отличие от сайта утечки данных, который функционирует, сайт переговоров Tor, похоже, еще не полностью функционирует. Хотя он показывает экран входа в систему, как показано ниже, он не позволяет жертвам входить на сайт.

    Http://decoder.re/ в настоящее время все еще не в сети.

    В настоящее время неясно, снова ли работает кибергуппа, серверы были снова включены по ошибке, или это связано с действиями правоохранительных органов.

    https://www.bleepingcomputer.com/news/security/revil-ransomwares-servers-mysteriously-come-back-online/

    p.s. есть уже вход на сайте в Tor+trial decrypt (работает)
    q9wozjtdat5t.jpg




    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • BlackMatter атаковал компанию медицинских технологий Olympus

    Olympus, ведущая компания в области медицинских технологий, расследует «потенциальный инцидент, связанный с кибербезопасностью», который на прошлой неделе затронул некоторые из ее ИТ-систем в регионе EMEA (Европа, Ближний Восток, Африка).

    Компания Olympus насчитывает более 31 000 сотрудников по всему миру и имеет более чем 100-летний опыт разработки в области медицины, биологических наук и промышленного оборудования.

    Подразделения компании по производству фотоаппаратов, аудиомагнитофонов и биноклей были переданы компании OM Digital Solutions, которая занимается продажей и распространением этих продуктов с января 2021 года.

    Безопасность клиентов не пострадала от атаки

    «Olympus в настоящее время расследует потенциальный инцидент кибербезопасности, затронувший ограниченные области ее ИТ-систем в регионе EMEA (Европа, Ближний Восток, Африка) 8 сентября 2021 года», - говорится в заявлении компании, опубликованном в субботу, через три дня после атаки.

    «При обнаружении подозрительной активности мы немедленно мобилизовали специализированную группу реагирования, включая экспертов-криминалистов, и в настоящее время работаем над решением этой проблемы в первоочередном порядке.

    «В рамках расследования мы приостановили передачу данных в затронутых системах и проинформировали соответствующих внешних партнеров».

    Olympus также сообщил, что работает над определением степени ущерба, нанесенного этой атакой, и поделится дополнительной информацией, как только она станет доступна.

    Признаки атаки программы-вымогателя BlackMatter

    Хотя компания Olympus не сообщила никаких подробностей о личности злоумышленников, записки о выкупе остались в системах, затронутых во время атаки BlackMatter.

    Те же записки о выкупе также указывают на веб-сайт Tor, который BlackMatter использовала в прошлом для общения с жертвами.

    https://www.bleepingcomputer.com/news/security/blackmatter-ransomware-hits-medical-technology-giant-olympus/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.