Шифровирусы шумной толпою...

123457»

Комментарии

  • отредактировано 8 янв PM
    Crysis/Dharma: грозящая катастрофа и как с ней бороться

    PCrisk:
    Extension: .JRB Sample: https://virustotal.com/gui/file/4da12fe3dcf1571388cbc21bbfd3617b55f19eea130a0b75fcf8e6426ea1d0ca/detection
    +
    Extension: .dts Sample: https://virustotal.com/gui/file/811b2259c62838d7c315b2e4d2f23ecfbbed5126209e004b92be63495a34a191/detection
    +
    Extension: .TCYO Sample: https://virustotal.com/gui/file/fd49f066864c9286c5303d19a1d3a0730b0ed8c846da6a6dcee9fc1d58f57e4c/detection
    +
    Extension: .6ix9 Sample: https://virustotal.com/gui/file/cd4195d92768aeb441215d758781984fe69317487fff6fcc76c680a93e1c2ec6/detection
    +
    Extension: .RZA Sample: https://virustotal.com/gui/file/d6e851580f50960c3e72692089562287eadf04c86584eab6bbac371dd42e5b4b/detection
    +
    Extension: .RME Sample: https://virustotal.com/gui/file/2d0a68c610a9decf73f25af3aaa2d77a280b4b79196e214ee6b63777bce36dce/detection
    +
    Extension: .yUixN Sample: https://virustotal.com/gui/file/9f384d91df642590e6e63b29cfba6de1e5dd905f12aeebbbbdad82be43a3c771/detection
    +
    Extension: .nomad Sample: https://virustotal.com/gui/file/a446a16501c15a6609b8d651a71b1163093a69061af1a9ace4dbd6a7672eba61/detection
    +
    Extension: .MOON Sample: https://virustotal.com/gui/file/cc841cabf9c1e9e7501851844fafba8cd4be2a5b8c7e3e060ed007fad20bdf1c/detection
    +
    Extension: .chld Sample: https://virustotal.com/gui/file/be836b777fd48bd7e6fe5465533b7b6e20e4a0474d0ccf177797bc77fc4eb96a/detection
    +
    Extension: .WOLF Sample: https://virustotal.com/gui/file/4415f8f494bdcaf72a9b814586f81cc8bc732c0e0dad1ba1f1d5eb8e357f7303/detection
    +
    Extension: .NaS https://virustotal.com/gui/file/4f01077d266b122d372ef9a93e5117086a256f0f6b9b45e609e834137a447177/detection
    +
    Extension: .lsas https://virustotal.com/gui/file/db0111038f5f8a362537694e72ee1b18f35a3d56beaca8284c8656624a966af4/detection
    +
    Extension: .MS https://virustotal.com/gui/file/3366e3811e6efd2237a9f829af0551e46e79001ae05192e90ccf1d6c047312c1
    +
    Extension: .WORM https://virustotal.com/gui/file/e01d44a06e045ada736c76fec5eaa8a27f6baecffae24563031b7ff3c2c61985/detection
    +
    Extension: .NEEH https://virustotal.com/gui/file/0fcc4badd02c7a0be0cee4a67e79e4515b0cacdd96546ca2b269e17571c425c9/detection
    +
    Extension: .Deeep https://virustotal.com/gui/file/f08272e69f4eeefac7657fa0d9100a4e18341ad25f44fa4a91f7fc0010cf15d1/detection
    +
    Extension: .DC https://virustotal.com/gui/file/8faad5c7914ea3fc11167df01482cd6abd89fd6253442e252c2e9deb9ca9c4ff/detection
    +
    Extension: .Xqxqx https://virustotal.com/gui/file/dad9dcf486c1ccb9286a55015e52bc6106f8d3bfb07c3fb6f32e6c5b91cb67cf/detection
    +
    Extension: .C1024 https://virustotal.com/gui/file/b882013f2b66b391b1988e9d2bc5a0cd6357c2c942b30aad8fe1ea17ba46b94f/detection
    +
    Jakub Kroustek:
    '.ver' - '[email protected]' - https://virustotal.com/gui/file/28e723a7aae19bfc23b61c11a36059bd3817e10fb460bd165e1f5b24cd8ccb9c/
    +
    '.RED' - '[email protected]' - https://virustotal.com/gui/file/6a06dfda9a3d31f5ecd9f7d05009447effa3250e70a07a55b39780d20f7dc248/
    +
    '.bmo' - '[email protected]' - https://virustotal.com/gui/file/8f6b6a207cc94437f5edc50b5a6d8a1fd3b6a46ac84012211f8de9b4415ee740/

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано декабря 2021 PM
    Устройства QNAP NAS подверглись атакам программ-вымогателей ech0raix

    Пользователи сетевых хранилищ (NAS) QNAP сообщают об атаках на свои системы с помощью программы-вымогателя eCh0raix, также известной как QNAPCrypt.

    Злоумышленник, стоящий за этим конкретным вредоносным ПО, активизировал свою деятельность примерно за неделю до Рождества, взяв под контроль устройства с правами администратора.
    Подскакивает количество атак перед Рождеством

    Пользователи, управляющие системами QNAP и Synology NAS, регулярно сообщают об атаках программ-вымогателей eCh0raix, но около 20 декабря многие из них начали сообщать об инцидентах.

    Скачок количества атак подтверждается службой вымогателей ID, количество заявок на которую начало расти 19 декабря и снизилось к 26 декабря.

    eCh0raixIDR.png

    Первоначальный вектор заражения пока неясен. Некоторые пользователи признают, что они были безрассудными и не защитили устройство должным образом (например, открыли доступ к Интернету через небезопасное соединение); другие утверждают, что уязвимость в Photo Station QNAP позволила злоумышленникам нанести ущерб.

    Независимо от пути атаки, похоже, что злоумышленник eCh0raix создает пользователя в группе администраторов, что позволяет им шифровать все файлы в системе NAS.

    Пользователи QNAP - некоторые из них используют устройство NAS в деловых целях - сообщили на форуме BleepingComputer, что вредоносная программа зашифровала изображения и документы.

    Помимо всплеска числа атак, в этой кампании выделяется то, что злоумышленник неправильно ввел расширение для записки о выкупе и использовал расширение «.TXTT».

    eCh0raixNote.jpg

    Важно отметить, что существует бесплатный дешифратор для файлов, заблокированных с помощью более старой версии (до 17 июля 2019 г.) вымогателя eCh0raix. Однако бесплатного решения для расшифровки данных, заблокированных последними версиями вредоносного ПО (версии 1.0.5 и 1.0.6), не существует.

    Атаки с использованием eCh0raix / QNAPCrypt начались в июне 2019 года и с тех пор представляют собой постоянную угрозу. Ранее в этом году QNAP предупредил своих пользователей об очередном шквале атак eCh0raix в начале этого года, нацеленных на устройства со слабыми паролями.

    Пользователи должны следовать рекомендациям QNAP, чтобы обеспечить надлежащую защиту своих устройств NAS и данных, которые они хранят.

    https://www.bleepingcomputer.com/news/security/qnap-nas-devices-hit-in-surge-of-ech0raix-ransomware-attacks/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • QNAP предупреждает о программах-вымогателях, нацеленных на устройства NAS, открытые в Интернете

    Сегодня компания QNAP предупредила клиентов о необходимости немедленно защитить подключенные к Интернету сетевые устройства хранения данных (NAS) от продолжающихся атак программ-вымогателей и грубой силы.

    «QNAP призывает всех пользователей QNAP NAS следовать приведенным ниже инструкциям по настройке безопасности, чтобы обеспечить безопасность сетевых устройств QNAP», — говорится в опубликованном сегодня пресс-релизе тайваньского производителя NAS.

    Компания предупредила пользователей, чтобы они проверяли, доступен ли их NAS через Интернет, открыв Security Counselor, встроенный портал безопасности для устройств QNAP NAS.

    «Ваш NAS подключен к Интернету и подвергается высокому риску, если на приборной панели отображается сообщение «Служба системного администрирования может быть напрямую доступна с внешнего IP-адреса по следующим протоколам: HTTP».

    QNAP рекомендует клиентам, у которых есть устройства NAS, подключенные к Интернету, предпринять следующие действия для их защиты от атак:
    Отключите функцию переадресации портов маршрутизатора: перейдите в интерфейс управления маршрутизатора, проверьте настройки виртуального сервера, NAT или переадресации портов и отключите параметр переадресации порта службы управления NAS (порт 8080 и 433 по умолчанию).
    Отключите функцию UPnP QNAP NAS: перейдите в myQNAPcloud в меню QTS, нажмите «Автоматическая настройка маршрутизатора» и снимите флажок «Включить переадресацию портов UPnP».

    Производитель NAS также предоставляет подробные пошаговые инструкции по отключению соединений SSH и Telnet и изменению номера системного порта, изменению паролей устройств и включению защиты доступа к IP-адресу и учетной записи.

    Предупреждение приходит после всплеска атак программ-вымогателей

    Хотя компания не сообщила никаких других подробностей об этих активных атаках, BleepingComputer сообщил о клиентах QNAP, заявивших, что их системы были атакованы программой-вымогателем eCh0raix (также известной как QNAPCrypt).

    Эти инциденты следуют за ростом активности прямо перед Рождеством и используют неизвестный вектор атаки.

    Тем не менее, некоторые отчеты пользователей связывают успешные атаки программ-вымогателей с ненадлежащим образом защищенными устройствами, доступными в Интернете. Другие также утверждали, что злоумышленники использовали неустановленную уязвимость QNAP Photo Station.

    Во время этих недавних атак BleepingComputer столкнулся с требованиями выкупа ech0raix в биткойнах на сумму от 1200 до 3000 долларов. Некоторым из них заплатили, потому что у жертв не было резервной копии зашифрованных файлов.

    Устройства QNAP ранее становились мишенью злоумышленников, использующих программу-вымогатель eCh0raix в июне 2019 года и июне 2020 года, при этом производитель NAS также предупредил пользователей о новой серии атак eCh0raix, нацеленных на устройства со слабыми паролями, в мае 2021 года.

    https://www.bleepingcomputer.com/news/security/qnap-warns-of-ransomware-targeting-internet-exposed-nas-devices/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано 11 янв PM
    Linux-версия программы-вымогателя AvosLocker нацелена на серверы VMware ESXi

    AvosLocker — это новейшая группа программ-вымогателей, которая добавила поддержку шифрования систем Linux к своим последним вариантам вредоносных программ, специально нацеленных на виртуальные машины VMware ESXi.

    Хотя мы не смогли найти, какие цели были атакованы с помощью этого варианта Linux-вымогателя AvosLocker, известно по крайней мере об одной жертве, которая получила требование выкупа в размере 1 миллиона долларов.

    Несколько месяцев назад AvosLocker также была замечена в рекламе своих последних вариантов программ-вымогателей, Windows Avos2 и AvosLinux, одновременно предупреждая своих партнеров не атаковать цели на постсоветском пространстве/СНГ.

    «Наши новые варианты (avos2 / avoslinux) предлагают лучшее из обоих миров: высокую производительность и высокий уровень шифрования по сравнению с конкурентами», — заявили в данной кибергруппе.

    Виртуальные машины ESXi остановлены до шифрования

    После запуска в системе Linux AvosLocker отключит все машины ESXi на сервере с помощью следующей команды:
    esxcli --formatter=csv --format-param=fields=="WorldID,DisplayName" список процессов vm | хвост -n +2 | awk -F $',' '{system("esxcli vm процесс kill --type=force --world-id=" $1)}'

    Как только программа-вымогатель начнет работать на скомпрометированной системе, она добавит расширение .avoslinux ко всем зашифрованным файлам.

    Он также сбрасывает заметки о выкупе, в которых просит жертв не выключать свои компьютеры, чтобы избежать повреждения файлов, и посетить onion-сайт для получения более подробной информации о том, как заплатить выкуп.

    avoslocker-linux.jpg
    Исследователь безопасности MalwareHunterTeam сообщил, что AvosLocker начал использовать шифровальщик Linux с ноября 2021 года.

    Программы-вымогатели переходят на Linux

    AvosLocker — это новая группа, впервые появившаяся летом 2021 года и призывающая партнеров-вымогателей на подпольных форумах присоединиться к их недавно запущенной операции Ransomware-as-a-Service (RaaS).
    Переход на целевые виртуальные машины ESXi согласуется с их корпоративными целями, которые недавно перешли на виртуальные машины для упрощения управления устройствами и более эффективного использования ресурсов.

    Нацелившись на виртуальные машины, операторы программ-вымогателей также используют более простое и быстрое шифрование нескольких серверов с помощью одной команды.

    С октября программа-вымогатель Hive начала шифровать системы Linux и FreeBSD, используя новые варианты вредоносного ПО, через несколько месяцев после того, как исследователи обнаружили программу-шифровальщик REvil для Linux, нацеленную на виртуальные машины VMware ESXi.

    Технический директор Emsisoft Фабиан Восар сообщил, что другие кибергруппы, включая Babuk, RansomExx/Defray, Mespinoza, GoGoogle, DarkSide и Hellokitty, также создали и использовали свои собственные шифраторы для Linux.
    «Причина, по которой большинство групп вымогателей внедрили версии своих программ-вымогателей на базе Linux, заключается в том, что они нацелены именно на ESXi», — пояснил Восар.
    Варианты программ-вымогателей HelloKitty и BlackMatter для Linux также были обнаружены исследователями безопасности в дикой природе в июле и августе, что еще раз подтверждает заявление Восара. Операции программ-вымогателей Snatch и PureLocker также наблюдались с использованием шифровальщиков Linux в прошлом.

    https://www.bleepingcomputer.com/news/security/linux-version-of-avoslocker-ransomware-targets-vmware-esxi-servers/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • В России арестованы члены кибергруппы REvil, изъяты 6,6 млн долларов

    Федеральная служба безопасности (ФСБ) РФ заявляет, что ликвидировала кибергруппу REvil

    В результате полицейских рейдов по 25 адресам задержано более десятка членов банды, говорится в сегодняшнем пресс-релизе российского спецслужбы.
    «Основой для проведения оперативно-розыскных мероприятий стало обращение компетентных органов США, сообщивших о лидере преступного сообщества и его причастности к посягательствам на информационные ресурсы иностранных высокотехнологичных компаний путем внедрения вредоносных программ, шифрования информации и вымогательства денежных средств. для его расшифровки» - ФСБ России

    Российские власти задержали 14 человек, подозреваемых в участии в операции REvil по программе-вымогателю как услуге (RaaS), и конфисковали криптовалюту и фиатные деньги следующим образом:

    более 426 млн рублей (примерно $5,5 млн)
    600 тысяч долларов США
    500 тысяч евро (примерно 570 000 долларов США)

    Российские власти также конфисковали 20 роскошных автомобилей, купленных на деньги, полученные в результате кибератак, компьютерное оборудование и криптовалютные кошельки, которые использовались для разработки и поддержания работы RaaS.

    Рейды прошли по адресам в Москве, Санкт-Петербурге, Ленинградской и Липецкой областях.

    ФСБ утверждает, что смогла установить всех членов группы REvil, задокументировать их незаконную деятельность и установить их участие в «незаконном обороте платежных средств».

    Помимо создания вредоносного ПО для шифрования файлов и его развертывания в корпоративных сетях по всему миру, участники REvil также занимались кражей денег с банковских счетов иностранных граждан.
    «В результате совместных действий ФСБ и МВД России организованное преступное сообщество прекратило существование, информационная инфраструктура, используемая в преступных целях, обезврежена» ФСБ России

    В ФСБ говорят, что проинформировали представителей компетентных органов США о результатах операции.

    https://www.bleepingcomputer.com/news/security/russia-arrests-revil-ransomware-gang-members-seize-66-million/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Программа-вымогатель Qlocker возвращается на NAS-устройства QNAP по всему миру

    Злоумышленники, стоящие за программой-вымогателем Qlocker, снова нацелены на открытые в Интернете устройства QNAP Network Attached Storage (NAS) по всему миру.

    Qlocker ранее нацеливался на клиентов QNAP в масштабной кампании по вымогательству, которая началась в течение недели с 19 апреля, перемещая файлы жертв в защищенные паролем архивы 7-zip с расширением .7z после взлома их устройств NAS.

    QNAP предупредил, что злоумышленники использовали жестко запрограммированную уязвимость учетных данных CVE-2021-28799 в приложении HBS 3 Hybrid Backup Sync, чтобы взломать устройства пользователей и заблокировать их файлы.

    Однако для некоторых клиентов QNAP, ставших мишенью прошлогодней кампании вымогателей Qlocker, предупреждение пришло слишком поздно после того, как злоумышленники вымогали деньги у сотен пользователей QNAP.

    В общей сложности затронутые пользователи QNAP потеряли около 350 000 долларов в течение одного месяца после уплаты выкупа в размере 0,01 биткойна (стоимостью около 500 долларов в то время), чтобы получить пароль, необходимый для восстановления их данных.

    Qlocker возвращается в новой кампании 2022 года

    Новая кампания по борьбе с вымогателями Qlocker началась 6 января, и она сбрасывает заметки о выкупе под названием !!!READ_ME.txt на взломанные устройства.

    Qlocker%20ransom%20note.png

    Эти заметки о выкупе также включают адрес сайта Tor (gvka2m4qt5fod2fltkjmdk4gxh5oxemhpgmnmtjptms6fkgfzdd62tad.onion), который жертвам предлагается посетить, чтобы получить дополнительную информацию о том, сколько им придется заплатить, чтобы восстановить доступ к своим файлам.

    Страницы жертв Tor, просматриваемые BleepingComputer с момента начала этой новой серии атак Qlocker, отображают требования выкупа в диапазоне от 0,02 до 0,03 биткойнов.

    Qlocker%20Tor%20site.png

    Дополнительную информацию о том, что делать, если кампания вымогателя QLocker2 затронула вас, можно найти в этой теме поддержки (тему кампании Qlocker 2021 можно найти здесь).

    Вы также можете ознакомиться со старым руководством о том, как восстановить данные с устройств NAS, скомпрометированных в результате прошлогодних атак программы-вымогателя Qlocker.

    С момента возвращения Qlocker 6 января затронутые пользователи QNAP отправили в службу ID-Ransomware десятки заметок с требованием выкупа и зашифрованных файлов.

    Qlocker2%20ransomware%20campaign.png

    К сожалению, Qlocker — не единственная программа-вымогатель, нацеленная на устройства QNAP NAS, о чем свидетельствует всплеск атак программы-вымогателя ech0raix, начавшийся прямо перед Рождеством.

    Ранее в этом месяце компания также предупредила своих клиентов о необходимости защитить устройства NAS, открытые в Интернете, от продолжающихся атак программ-вымогателей и грубой силы, отключив переадресацию портов на своих маршрутизаторах и функцию UPnP на своих устройствах.

    В прошлом году QNAP также уведомила клиентов о необходимости защитить свои устройства от входящих атак, в том числе от программ-вымогателей Agelocker и eCh0raix.

    Производитель NAS рекомендует применять следующие передовые методы, если вы хотите защитить свое устройство QNAP от дальнейших атак.

    https://www.bleepingcomputer.com/news/security/qlocker-ransomware-returns-to-target-qnap-nas-devices-worldwide/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано 09:12 PM
    Новый шифратор White Rabbit связан с хакерской группой FIN8

    Недавно в дикой природе появилось новое семейство программ-вымогателей под названием «White Rabbit», и, согласно недавним исследованиям, оно может быть побочной операцией хакерской группы FIN8.

    Простой инструмент для двойного вымогательства

    Первое публичное упоминание о программе-вымогателе White Rabbit было в твите эксперта по программам-вымогателям Майкла Гиллеспи, который искал образец вредоносного ПО.

    В новом отчете Trend Micro исследователи анализируют образец программы-вымогателя White Rabbit, полученный во время атаки на банк США в декабре 2021 года.

    Исполняемый файл программы-вымогателя представляет собой небольшую полезную нагрузку размером 100 КБ и требует ввода пароля при выполнении командной строки для расшифровки вредоносной полезной нагрузки.

    Пароль для выполнения вредоносной полезной нагрузки ранее использовался другими операциями программ-вымогателей, включая Egregor, MegaCortex и SamSam.

    После запуска с правильным паролем программа-вымогатель сканирует все папки на устройстве и шифрует целевые файлы, создавая примечания о выкупе для каждого зашифрованного файла.

    Например, файл с именем test.txt будет зашифрован как test.txt.scrypt, а примечание о выкупе будет создано с именем test.txt.scrypt.txt.

    При шифровании устройства также используются съемные и сетевые диски, при этом системные папки Windows исключаются из шифрования, чтобы предотвратить вывод операционной системы из строя.

    Записка о выкупе информирует жертву о том, что ее файлы были похищены, и угрожает опубликовать и/или продать украденные данные, если требования не будут выполнены.

    white-rabbit-note.jpg

    Крайний срок для выплаты выкупа жертвой установлен на четыре дня, после чего субъекты угрожают отправить украденные данные в органы по защите данных, что приводит к штрафам за утечку данных GDPR.

    Доказательства украденных файлов загружаются в такие сервисы, как «paste[.]com» и «file[.]io», а жертве предлагается канал общения в чате с действующими лицами на сайте переговоров Tor.

    Сайт Tor включает в себя «Главную страницу», используемую для отображения доказательств украденных данных, и раздел чата, где жертва может общаться с злоумышленниками и договариваться о требовании выкупа

    Ссылки на FIN8

    Как отмечается в отчете Trend Micro, доказательства связи FIN8 и «Белого кролика» обнаруживаются на этапе развертывания программы-вымогателя.

    В частности, новая программа-вымогатель использует невиданную ранее версию Badhatch (также известную как «Sardonic»), бэкдор, связанный с FIN8.

    Как правило, эти субъекты хранят свои собственные бэкдоры при себе и продолжают разрабатывать их в частном порядке.

    Этот вывод также подтверждается другим отчетом о том же семействе программ-вымогателей, подготовленным исследователями Lodestone.

    Они также обнаружили Badhatch в атаках «Белого кролика», а также заметили артефакты PowerShell, похожие на активность, связанную с FIN8 прошлым летом.

    В отчете Lodestone делается вывод: «Lodestone выявил ряд TTP, предполагающих, что White Rabbit, если он действует независимо от FIN8, имеет тесные отношения с более известной группой угроз или имитирует их».

    На данный момент White Rabbit ограничился тем, что нацелился только на несколько организаций, но считается новой угрозой, которая в будущем может превратиться в серьезную угрозу для компаний.

    На этом этапе его можно сдержать, приняв стандартные меры по борьбе с программами-вымогателями, например следующие:

    Развертывание многоуровневых решений для обнаружения и реагирования.
    Создайте сценарий реагирования на инциденты для предотвращения атак и восстановления.
    Проведите моделирование атак программ-вымогателей, чтобы выявить пробелы и оценить производительность.
    Выполняйте резервное копирование, тестируйте резервные копии, проверяйте резервные копии и сохраняйте резервные копии в автономном режиме.

    https://www.bleepingcomputer.com/news/security/new-white-rabbit-ransomware-linked-to-fin8-hacking-group/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.