Στις 13 Δεκεμβρίου, η Νέα Ορλεάνη έπεσε θύμα ransomware επίθεσης. Σύμφωνα με κάποια αρχεία που ανέβηκαν στην υπηρεσία σάρωσης VirusTotal, πρόκειται μάλλον για το Ryuk Ransomware.
Στις 14 Δεκεμβρίου 2019, κάποιος (με αμερικανική διεύθυνση IP) ανέβασε στην υπηρεσία VirusTotal τα memory dumps ύποπτων εκτελέσιμων.
Ένα από αυτά τα memory dumps περιείχε πολυάριθμες αναφορές για τη Νέα Ορλεάνη και το Ryuk.
Τα memory dumps δείχνουν τη μνήμη που χρησιμοποιείται από μια εφαρμογή που τρέχει. Επομένως, είναι πολύ χρήσιμα γιατί επιτρέπουν την εξαγωγή χρήσιμων συμβολοσειρών, ονομάτων αρχείων, εντολών και άλλων πληροφοριών, με τα οποία αλληλεπίδρασε το εκτελέσιμο. Γι’ αυτό το λόγο, χρησιμοποιούνται συχνά από τους ειδικούς για τη διερεύνηση hacking επιθέσεων.
Το memory dump αναφέρονται σε ένα εκτελέσιμο αρχείο που ονομάζεται ‘yoletby.exe’ και περιέχει πολλές αναφορές για τη Νέα Ορλεάνη, όπως domain names, domain controllers, εσωτερικές διευθύνσεις IP, ονόματα χρηστών, κοινόχρηστα αρχεία και αναφορές στο Ryuk ransomware.
Άλλες πληροφορίες που περιλαμβάνονταν στο dump ήταν το HERMES file marker, τα ονόματα αρχείων που τελειώνουν με την επέκταση .ryk και αναφορές στα RyukReadMe.html μηνύματα για λύτρα.
Βρέθηκε, επίσης, μια αναφορά στο εκτελέσιμο αρχείο C: \ Temp \ v2.exe, που εκτελέστηκε στο μηχάνημα. Ένα memory dump φορτώθηκε και για αυτό το αρχείο στο VirusTotal.
Εκεί υπήρχαν αναφορές για το New Orleans City Hall.
Περισσότερη ανάλυση των στοιχείων έδειξε ότι πίσω από την επίθεση βρισκόταν κατά πάσα πιθανότητα το Ryuk ransomware.
Αν ισχύει αυτό, τότε η Νέα Ορλεάνη αποτελεί άλλο ένα θύμα του δημοφιλούς ransomware.
Πιθανή παρουσία του Emotet και του Trickbot
Εάν η Νέα Ορλεάνη δέχτηκε όντως επίθεση από το Ryuk ransomware, τότε το δίκτυο μπορεί να έχει επίσης μολυνθεί από το Emotet και το TrickBot.
Το Emotet, συνήθως, διανέμεται μέσω spam emails, που περιέχουν κακόβουλα συνημμένα αρχεία.
Αφού μολυνθεί το σύστημα από το Emotet, το κακόβουλο λογισμικό θα στείλει spam emails σε άλλους υπολογιστές και θα μεταφορτώσει και άλλα κακόβουλα προγράμματα στον υπολογιστή.
Ένα από τα πιο κοινά κακόβουλα προγράμματα που εγκαθίσταται από το Emotet είναι το TrickBot, το οποίο χρησιμοποιείται για την κλοπή πληροφοριών.
