Το Megabreach των 773 εκατομμυρίων Passwords ξεκίνησε χρόνια πριν
infosec

Το Megabreach των 773 εκατομμυρίων Passwords ξεκίνησε χρόνια πριν

Πρόσφατα κυκλοφόρησε η είδηση, ότι σχεδόν 773 εκατομμύρια διευθύνσεις ηλεκτρονικού ταχυδρομείου και 21 εκατομμύρια passwords δημοσιεύθηκαν σε ένα φόρουμ hacking....
Read More
infosec

Instagram influencers ανακτούν τα accounts με τη βοήθεια hackers

Οι Instagram influencers που έχουν δει τους λογαριασμούς τους να χακάρονται και τις προσωπικές τους πληροφορίες να εκτίθενται, λένε ότι...
Read More
infosec

Windows 10: Πώς να διορθώσετε το browsing σφάλμα στο Microsoft Edge

Η τελευταία αναβάθμιση που κυκλοφόρησε από τη Microsoft για τα Windows 10 έφερε ένα πρόβλημα, το οποίο παρατηρείται όταν επιχειρεί...
Read More
infosec

Google Play: Κρυβόταν malware με τη χρήση των αισθητήρων κίνησης

Στην αγορά του Google Play υπάρχουν πολλές κακόβουλες εφαρμογές που δοκιμάζουν κόλπα για να αποφευχθεί η ανίχνευση τους. Για την...
Read More
infosec

Bug του Twitter δημοσίευε τα προσωπικά tweets των χρηστών για 5 χρόνια

Οι χρήστες του Twitter, οι οποίοι χρησιμοποιούν το δημοφιλές κοινωνικό δίκτυο από τις Android συσκευές τους, θα πρέπει να ελέγξουν...
Read More
Latest Posts

Το Apocalypse Ransomware εξαπλώνεται μέσω μη ασφαλών RDP συνδέσεων

Μια ransomware παραλλαγή που εμφανίστηκε για πρώτη φορά πριν από δύο μήνες έχει χτίσει ένα όνομα για τον εαυτό της με συνεχείς ενημερώσεις, βελτιωμένη λειτουργικότητα, και την αδυναμία να επινοήσει έναν κατάλληλο αλγόριθμο κρυπτογράφησης που ο Fabian Wosar της Emsisoft να μην μπορεί να σπάσει.Ονομάζεται Apocalypse (Αποκάλυψη) και το ransomware ξεχωρίζει από άλλα παρόμοια εργαλεία, επειδή χρησιμοποιεί μια μη αυτόματη μέθοδο διανομής, στηριζόμενο στους δημιουργούς του πραγματοποιώντας brute-force σε μη ασφαλής διακομιστές RDP (Remote Desktop Protocol) και εγκαθιστώντας το Αpocalypse με το χέρι.

Το Apocalypse Ransomware εξαπλώνεται μέσω μη ασφαλών RDP συνδέσεων

Οι εμπειρογνώμονες της Fox-IT είχαν προειδοποιήσει στις αρχές Μαΐου σχετικά με την αύξηση των RDP brute-force επιθέσεων που στόχευαν ειδικά στην εγκατάσταση ransomware. Το Apocalypse εμφανίστηκε για πρώτη φορά περίπου μία εβδομάδα μετά αφότου βγήκε αυτή η έκθεση.

Πριν το Apocalypse, οι malware αναλυτές ανακάλυψαν και νέες εκδόσεις του παλαιότερου Bucbi ransomware, το οποίο επίσης χρησιμοποιούσε RDP brute-force επιθέσεις για να εξαπλωθεί σε εταιρικά δίκτυα.

Όσον αφορά το Αpocalypse, το ransomware χρησιμοποιεί έναν απλοϊκό αλγόριθμο κρυπτογράφησης με βάση το XOR, ο οποίος είναι ο λόγος που ο Fabian Wosar της Emsisoft κατάφερε να τον σπάσει στις αρχές του μήνα και στη συνέχεια να προσφέρει ένα δωρεάν Decrypter που μπορεί να ξεκλειδώσει τα αρχεία χωρίς να πληρωθούν τα λύτρα.

Οι συγγραφείς του Apocalypse αντιστάθμισαν την κατάσταση με μια ενημέρωση του κώδικά τους και κάνοντας obfuscation με VMProtect, μια εφαρμογή για την προστασία λογισμικού κατά του reverse engineering και το σπάσιμο του κώδικα.

Ο Wosar δεν επαναπαύτηκε και κυκλοφόρησε ένα Decrypter και για αυτή την έκδοση, η οποία ονομάστηκε ApocalypseVM.

Μια εβδομάδα μετά από αυτό, οι ransomware συγγραφείς του Αpocalypse κυκλοφόρησαν μια νέα έκδοση, και εκείνη περιείχε ένα είδος «μηνύματος» για τους Emsisoft ερευνητές.

Αυτή δεν είναι η πρώτη φορά που η Emsisoft και ο Fabian Wosar εκνευρίζουν ransomware προγραμματιστές, κάτι παρόμοιο είχε συμβεί όταν δημιούργησε ένα Decrypter για το Radamant ransomware αυτό το χειμώνα.

«Λόγω της φύσης του λογισμικού προστασίας από επιθέσεις είναι μάλλον αναποτελεσματικό. Εάν ο εισβολέας καταφέρει να αποκτήσει πρόσβαση στο σύστημα μέσω του απομακρυσμένου ελέγχου (remote control), μπορεί απλά να απενεργοποιήσει οποιοδήποτε λογισμικό προστασίας έχει εγκατασταθεί ή να προσθέσει το κακόβουλο λογισμικό στη λίστα αποκλεισμού του λογισμικού προστασίας», εξηγεί η Emsisoft. «Ως εκ τούτου, είναι επιτακτική ανάγκη να αποτρέψουμε τον επιτιθέμενο από το να αποκτήσει πρόσβαση στο σύστημα.»

Για το σκοπό αυτό, συνιστάται στους sysadmins να χρησιμοποιούν ισχυρούς κωδικούς πρόσβασης για RDP συνδέσεις τους, ή ακόμα καλύτερα, απλά να απενεργοποιήσουν το πρωτόκολλο αν δεν το χρειάζονται.

Έχετε άποψη; Αφήστε το σχόλιό σας.

Ο συντάκτης σας επιτρέπει να αντιγράψετε το κείμενό του, μόνο εφόσον αναφέρετε την πηγή (SecNews.gr), σαν ηλεκτρονική διεύθυνση (Live URL) του άρθρου.
Updated on by

Reader Interactions

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *