Τρίτη, 27 Οκτωβρίου, 21:37
Αρχική security Ransomware: Αυτές οι εξελιγμένες απάτες παραδίδουν καταστροφικά payloads

Ransomware: Αυτές οι εξελιγμένες απάτες παραδίδουν καταστροφικά payloads

Η Microsoft έχει αναλύσει τις τακτικές και τις τεχνικές μερικών πολύ δαπανηρών ransomware που κυκλοφορούν τα τελευταία χρόνια, τα οποία δεν είναι αυτοματοποιημένα αλλά ελέγχονται χειροκίνητα.

Προειδοποιεί ότι μερικές από τις ομάδες των ransomware χρησιμοποιούν τις ιδιότητες που χρησιμοποιούν οι hackers που χρηματοδοτούνται από το κράτος και παρουσιάζουν μια “εκτεταμένη γνώση της διαχείρισης των συστημάτων και των τεχνικών ασφαλείας” και στη συνέχεια, παρέχουν “καταστροφικά” ransomware payloads.

“Με βάση τις έρευνές μας, αυτές οι εκστρατείες έχουν δείξει ότι θα μπορούσαν να λειτουργήσουν απεριόριστα στα δίκτυα”, δήλωσε η Microsoft.

Οι παραλλαγές ransomware που περιλαμβάνονται στην έρευνα της Microsoft είναι οι REvil, Samas ή SamSam, Doppelpaymer, Bitpaymer και Ryuk. Η μέση ζήτηση λύτρων για το REvil ransomware είναι $ 260.000, καθιστώντας το ransomware «big game» λόγω των επιλεγμένων στόχων και των μεγάλων ποσών που απαιτεί. Η Αμερικανική EMCOR Group ανακοίνωσε αυτή την εβδομάδα ότι το ransomware Ryuk επηρέασε τα έσοδα του Q4 του 2019 λόγω του χρόνου διακοπής της λειτουργίας του.

ransomware

Η Microsoft παρακολουθεί εδώ και 18 μήνες μια άλλη ομάδα malware που ονομάζεται Parinacota (η Microsoft χρησιμοποιεί ονόματα ηφαιστείων για να κατονομάσει τους κυβερνοεγκληματίες). Έχουν χακάρει συστήματα για να εγκαταστήσουν τους miners κρυπτοσυχνοτήτων και να στείλουν spam, αλλά πρόσφατα άρχισαν να αναπτύσσουν Wadhrama ransomware σε εταιρικά δίκτυα σε επιθέσεις “smash and grab” απαιτώντας λύτρα.

Το Parinacota χρησιμοποιεί ως επί το πλείστον RDP brute force επιθέσεις για να εισέλθει, σαρώνοντας το διαδίκτυο για ευάλωτες συσκευές και δοκιμάζοντας μια λίστα δημοφιλών κωδικών πρόσβασης.

Η Microsoft έχει εντοπίσει μια μοναδική τακτική που χρησιμοποιεί η ομάδα. Αφού αποκτήσουν πρόσβαση σε ένα δίκτυο, οι επιτιθέμενοι δοκιμάζουν το compromised μηχάνημα για συνδεσιμότητα στο διαδίκτυο και επεξεργαστική ικανότητα, σύμφωνα με την ομάδα Microsoft Threat Protection Intelligence Team.

“Καθορίζουν αν η μηχανή πληροί συγκεκριμένες απαιτήσεις πριν τη χρησιμοποιήσει για να εκτελέσει επιθέσεις brute force RDP σε σχέση με άλλους στόχους. Αυτή η τακτική, η οποία δεν παρατηρήθηκε ότι χρησιμοποιείται από παρόμοιους χειριστές ransomware, τους δίνει πρόσβαση σε πρόσθετη υποδομή λιγότερο πιθανό να μπλοκαριστεί. Στην πραγματικότητα, η ομάδα έχει παρατηρηθεί αφήνοντας τα εργαλεία τους να τρέχουν σε συμβιβασμένα μηχανήματα για μήνες στο τέλος “, λέει η ομάδα σε ένα post.

Χρησιμοποιώντας τα κλεμμένα credentials στην επίθεση, η ομάδα χρησιμοποιεί επίσης δικαιώματα admin για να μην αφήσει τις υπηρεσίες ασφαλείας να ανιχνεύσουν τις ενέργειές της και έπειτα κατεβάζει ένα ZIP αρχείο γεμάτο με τα εργαλεία του hacker όπως το Mimikatz και το εργαλείο Sysinternals ProcDump για τα επόμενα στάδια της επίθεσης αποκρύπτοντας τα credentials.

Λόγω όλων αυτών των εργασιών, οι οργανώσεις που καταφέρνουν να καθαρίσουν ένα Wadhrama injection συχνά δεν μπορούν να αφαιρέσουν πλήρως τους μηχανισμούς που επιμένουν, αφήνοντας τον στόχο ευάλωτο σε επαναμόλυνση.

Η ομάδα χρεώνει μεταξύ 0,5 και 2 Bitcoins ($ 4,500 έως $ 18,268) ανά κατεστραμμένο μηχάνημα. Οι επιτιθέμενοι προσαρμόζουν τη ζήτηση στο πόσο κρίσιμο είναι το μηχάνημα.

Μέρος του σημείου της ανάρτησης της Microsoft είναι να εξηγεί γιατί οι ομάδες ασφαλείας θα πρέπει να ενεργοποιούν τις λειτουργίες που είναι διαθέσιμες στο Windows Defender ATP.

Το Ryuk είναι ένα άλλο παράδειγμα ανθρώπινου ransomware που εισέρχεται συχνά σε δίκτυα μέσω του trojan Trickbot.

Η Microsoft σημειώνει ότι το Trickbot θεωρείται συχνά ως απειλή χαμηλής προτεραιότητας και επομένως δεν απομονώνεται αμέσως.

Το Trickbot και οι διαχειριστές Ryuk επωφελούνται επίσης από τους χρήστες που λειτουργούν ως τοπικοί διαχειριστές σε περιβάλλοντα και χρησιμοποιούν αυτά τα δικαιώματα για να απενεργοποιήσουν τα εργαλεία ασφαλείας που θα παρεμπόδιζαν τις ενέργειές τους “, σημείωσαν.

Ορισμένες εταιρείες έχουν καταστήσει αυτές τις επιθέσεις ευκολότερες αποδυναμώνοντας την εσωτερική τους ασφάλεια. Η Microsoft δήλωσε ότι μερικές επιτυχημένες καμπάνιες ransomware που διεξάγονται manually έχουν αντιμετωπίσει servers που διαθέτουν antivirus software και άλλες ασφάλειες που έχουν απενεργοποιηθεί εκ προθέσεως, τα οποία οι διαχειριστές ενδέχεται να έχουν κάνει για να βελτιώσουν την απόδοση. “Οι ίδιοι servers συχνά δεν διαθέτουν προστασία firewall και MFA, έχουν αδύναμα domain credentials και χρησιμοποιούν μη τυχαιοποιημένους τοπικούς admin κωδικούς πρόσβασης”, ανέφερε.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

LIVE NEWS

00:01:47

Data breach σε δικηγορική εταιρεία εκθέτει στοιχεία υπαλλήλων της Google

Η δικηγορική εταιρεία μετανάστευσης Fragomen, Del Rey, Bernsen & Loewy, LLP αποκάλυψε ότι υπέστη data breach που οδήγησε στη διαρροή προσωπικών στοιχείων...

Πως να εγκαταστήσετε ένα αρχείο .watchface στο Apple Watch

Το Apple Watch σάς επιτρέπει να προσαρμόζετε τα faces του ρολογιού ώστε να εμφανίζονται όλα τα είδη των χρήσιμων πληροφοριών. Αλλά ξέρατε...

Οι πέντε μεγαλύτερες παραβιάσεις δεδομένων του 21ου αιώνα

Τα δεδομένα γίνονται όλο και πιο περιζήτητα όσο η καθημερινότητά μας ψηφιοποιείται περισσότερο. Οι τεχνολογικοί γίγαντες που μονοπωλούν τα δεδομένα είναι οι...

Η Microsoft περιορίζει τη διαθεσιμότητα των Windows 10 20H2

Η Microsoft αυτή τη στιγμή περιορίζει τη διαθεσιμότητα των Windows 10 20H2 για να παρέχει σε όλους τους χρήστες που θέλουν να...

Πως να ενεργοποιήσετε τη νέα μυστική λειτουργία Read more του Chrome

Η τελευταία έκδοση του προγράμματος περιήγησης Google Chrome, v86, που κυκλοφόρησε νωρίτερα αυτό το μήνα, περιέχει ένα μυστικό χαρακτηριστικό που ονομάζεται Read...

Πως να επιλέξετε ένα προσαρμοσμένο χρώμα για το Start menu

Ξεκινώντας από την ενημέρωση του Οκτωβρίου 2020, τα Windows 10 είναι προεπιλεγμένα σε ένα θέμα που αφαιρεί τα έντονα χρώματα από τη...

Το τηλεσκόπιο της NASA ανακαλύπτει πόσιμο νερό στο φεγγάρι

Πριν από έντεκα χρόνια, ένα διαστημικό σκάφους άλλαξε την άποψη μας για το φεγγάρι για πάντα. Τα δεδομένα που συλλέχθηκαν από τους...

Microsoft: Ενισχύει τις δυνατότητες ανίχνευσης password spray επιθέσεων

Η Microsoft έχει βελτιώσει σημαντικά τις δυνατότητες ανίχνευσης password spray επιθέσεων στο Azure Active Directory (Azure AD) και έχει φτάσει στο σημείο...

Πώς θα αποτρέψουμε τις εταιρείες να βρίσκουν τον αριθμό τηλεφώνου μας

Την εποχή της διαφήμισης, όσο περισσότερες πληροφορίες για τους χρήστες είναι γνωστές τόσο πιο βολικό είναι για τις εταιρείες. Και ειδικότερα, οι...

Παραβίαση σε κλινική ψυχοθεραπείας οδήγησε σε εκβιασμούς ασθενών

Πριν δύο χρόνια, έλαβε χώρα μια κυβερνοεπίθεση σε μια φινλανδική κλινική ψυχοθεραπείας, η οποία κατέληξε σε κλοπή δεδομένων και απαίτηση λύτρων. Τώρα,...