Παρασκευή, 15 Ιανουαρίου, 23:11
Αρχική security Ransomware: Αυτές οι εξελιγμένες απάτες παραδίδουν καταστροφικά payloads

Ransomware: Αυτές οι εξελιγμένες απάτες παραδίδουν καταστροφικά payloads

Η Microsoft έχει αναλύσει τις τακτικές και τις τεχνικές μερικών πολύ δαπανηρών ransomware που κυκλοφορούν τα τελευταία χρόνια, τα οποία δεν είναι αυτοματοποιημένα αλλά ελέγχονται χειροκίνητα.

Προειδοποιεί ότι μερικές από τις ομάδες των ransomware χρησιμοποιούν τις ιδιότητες που χρησιμοποιούν οι hackers που χρηματοδοτούνται από το κράτος και παρουσιάζουν μια “εκτεταμένη γνώση της διαχείρισης των συστημάτων και των τεχνικών ασφαλείας” και στη συνέχεια, παρέχουν “καταστροφικά” ransomware payloads.

“Με βάση τις έρευνές μας, αυτές οι εκστρατείες έχουν δείξει ότι θα μπορούσαν να λειτουργήσουν απεριόριστα στα δίκτυα”, δήλωσε η Microsoft.

Οι παραλλαγές ransomware που περιλαμβάνονται στην έρευνα της Microsoft είναι οι REvil, Samas ή SamSam, Doppelpaymer, Bitpaymer και Ryuk. Η μέση ζήτηση λύτρων για το REvil ransomware είναι $ 260.000, καθιστώντας το ransomware «big game» λόγω των επιλεγμένων στόχων και των μεγάλων ποσών που απαιτεί. Η Αμερικανική EMCOR Group ανακοίνωσε αυτή την εβδομάδα ότι το ransomware Ryuk επηρέασε τα έσοδα του Q4 του 2019 λόγω του χρόνου διακοπής της λειτουργίας του.

ransomware

Η Microsoft παρακολουθεί εδώ και 18 μήνες μια άλλη ομάδα malware που ονομάζεται Parinacota (η Microsoft χρησιμοποιεί ονόματα ηφαιστείων για να κατονομάσει τους κυβερνοεγκληματίες). Έχουν χακάρει συστήματα για να εγκαταστήσουν τους miners κρυπτοσυχνοτήτων και να στείλουν spam, αλλά πρόσφατα άρχισαν να αναπτύσσουν Wadhrama ransomware σε εταιρικά δίκτυα σε επιθέσεις “smash and grab” απαιτώντας λύτρα.

Το Parinacota χρησιμοποιεί ως επί το πλείστον RDP brute force επιθέσεις για να εισέλθει, σαρώνοντας το διαδίκτυο για ευάλωτες συσκευές και δοκιμάζοντας μια λίστα δημοφιλών κωδικών πρόσβασης.

Η Microsoft έχει εντοπίσει μια μοναδική τακτική που χρησιμοποιεί η ομάδα. Αφού αποκτήσουν πρόσβαση σε ένα δίκτυο, οι επιτιθέμενοι δοκιμάζουν το compromised μηχάνημα για συνδεσιμότητα στο διαδίκτυο και επεξεργαστική ικανότητα, σύμφωνα με την ομάδα Microsoft Threat Protection Intelligence Team.

“Καθορίζουν αν η μηχανή πληροί συγκεκριμένες απαιτήσεις πριν τη χρησιμοποιήσει για να εκτελέσει επιθέσεις brute force RDP σε σχέση με άλλους στόχους. Αυτή η τακτική, η οποία δεν παρατηρήθηκε ότι χρησιμοποιείται από παρόμοιους χειριστές ransomware, τους δίνει πρόσβαση σε πρόσθετη υποδομή λιγότερο πιθανό να μπλοκαριστεί. Στην πραγματικότητα, η ομάδα έχει παρατηρηθεί αφήνοντας τα εργαλεία τους να τρέχουν σε συμβιβασμένα μηχανήματα για μήνες στο τέλος “, λέει η ομάδα σε ένα post.

Χρησιμοποιώντας τα κλεμμένα credentials στην επίθεση, η ομάδα χρησιμοποιεί επίσης δικαιώματα admin για να μην αφήσει τις υπηρεσίες ασφαλείας να ανιχνεύσουν τις ενέργειές της και έπειτα κατεβάζει ένα ZIP αρχείο γεμάτο με τα εργαλεία του hacker όπως το Mimikatz και το εργαλείο Sysinternals ProcDump για τα επόμενα στάδια της επίθεσης αποκρύπτοντας τα credentials.

Λόγω όλων αυτών των εργασιών, οι οργανώσεις που καταφέρνουν να καθαρίσουν ένα Wadhrama injection συχνά δεν μπορούν να αφαιρέσουν πλήρως τους μηχανισμούς που επιμένουν, αφήνοντας τον στόχο ευάλωτο σε επαναμόλυνση.

Η ομάδα χρεώνει μεταξύ 0,5 και 2 Bitcoins ($ 4,500 έως $ 18,268) ανά κατεστραμμένο μηχάνημα. Οι επιτιθέμενοι προσαρμόζουν τη ζήτηση στο πόσο κρίσιμο είναι το μηχάνημα.

Μέρος του σημείου της ανάρτησης της Microsoft είναι να εξηγεί γιατί οι ομάδες ασφαλείας θα πρέπει να ενεργοποιούν τις λειτουργίες που είναι διαθέσιμες στο Windows Defender ATP.

Το Ryuk είναι ένα άλλο παράδειγμα ανθρώπινου ransomware που εισέρχεται συχνά σε δίκτυα μέσω του trojan Trickbot.

Η Microsoft σημειώνει ότι το Trickbot θεωρείται συχνά ως απειλή χαμηλής προτεραιότητας και επομένως δεν απομονώνεται αμέσως.

Το Trickbot και οι διαχειριστές Ryuk επωφελούνται επίσης από τους χρήστες που λειτουργούν ως τοπικοί διαχειριστές σε περιβάλλοντα και χρησιμοποιούν αυτά τα δικαιώματα για να απενεργοποιήσουν τα εργαλεία ασφαλείας που θα παρεμπόδιζαν τις ενέργειές τους “, σημείωσαν.

Ορισμένες εταιρείες έχουν καταστήσει αυτές τις επιθέσεις ευκολότερες αποδυναμώνοντας την εσωτερική τους ασφάλεια. Η Microsoft δήλωσε ότι μερικές επιτυχημένες καμπάνιες ransomware που διεξάγονται manually έχουν αντιμετωπίσει servers που διαθέτουν antivirus software και άλλες ασφάλειες που έχουν απενεργοποιηθεί εκ προθέσεως, τα οποία οι διαχειριστές ενδέχεται να έχουν κάνει για να βελτιώσουν την απόδοση. “Οι ίδιοι servers συχνά δεν διαθέτουν προστασία firewall και MFA, έχουν αδύναμα domain credentials και χρησιμοποιούν μη τυχαιοποιημένους τοπικούς admin κωδικούς πρόσβασης”, ανέφερε.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

LIVE NEWS

Android: Πώς να δείτε ποια apps έχουν πρόσβαση στην τοποθεσία σας

Δεν είναι μυστικό ότι οι εφαρμογές smartphone έχουν τη δυνατότητα πρόσβασης σε πολλά δικαιώματα — εάν τις αφήσετε. Είναι σημαντικό να βεβαιωθείτε...

Η Canon σας επιτρέπει να «τραβάτε φωτογραφίες» από το διάστημα

Αντί να κυκλοφορήσει νέες κάμερες για το CES 2021, η Canon κάνει κάτι διαφορετικό: Σας επιτρέπει να τραβάτε φωτογραφίες από το διάστημα....

Wikipedia vs Big tech: Ποιος πολεμάει την παραπληροφόρηση;

Καθώς η Ημέρα των Εκλογών μετατράπηκε σε Εβδομάδα Εκλογών στις ΗΠΑ, το Facebook, το Twitter και το YouTube προσπαθούσαν να αποτρέψουν την...
00:02:36

Tesla: Καλείται να ανακαλέσει αυτοκίνητα λόγω προβληματικών οθονών

H οθόνη αφής (touchscreen) σε ορισμένα αυτοκίνητα της Tesla φαίνεται να έχει κάποιο πρόβλημα, που θα μπορούσε...

Τα ransomware ευθύνονται για τις μισές παραβιάσεις δεδομένων σε νοσοκομεία

Σχεδόν οι μισές από τις παραβιάσεις δεδομένων που έγιναν σε νοσοκομεία και στον ευρύτερο τομέα της υγειονομικής περίθαλψης οφείλονται σε επιθέσεις ransomware,...

Οι αστρονόμοι μόλις βρήκαν την παλαιότερη υπερμεγέθη μαύρη τρύπα

Ένα κβάζαρ (quasar) ανακαλύφθηκε σε μια σκοτεινή γωνία του διαστήματος - πάνω από 13,03 δισεκατομμύρια έτη φωτός μακριά - και περιέχει μια...

Ποια είναι τα καλύτερα και πιο προσιτά τηλέφωνα 5G για το 2021

Σύντομα η αγορά θα κατακλιστεί με συσκευές 5G μεσαίας κατηγορίας. Όλο αυτό που θα συμβεί θα είναι πραγματικά συναρπαστικό: θα μπορείτε να...

Παραβιάστηκαν επαληθευμένα Twitter accounts σε cryptocurrency scam με το όνομα του Elon Musk!

Το τελευταίο διάστημα, χάκερς παραβιάζουν επαληθευμένα Twitter accounts σε cryptocurrency giveaway scam (απάτη δωρεάς κρυπτονομισμάτων), στο οποίο χρησιμοποιείται το όνομα του CEO...

Classiscam: Απατεώνες «πλαστογραφούν» brands κι εξαπατούν χρήστες Ευρωπαϊκών αγορών!

Δεκάδες εγκληματικές συμμορίες δημοσιεύουν ψεύτικες διαφημίσεις σε δημοφιλείς online αγορές, για να προσελκύσουν ανυποψίαστους χρήστες σε «δόλια» εμπορικά sites ή σε phishing...

iOS 14.4: Θα εμφανίζει ειδοποίηση για τις επισκευές με μη γνήσιες κάμερες

Ξεκινώντας από το iPhone 11, η Apple έχει προσθέσει μια ειδοποίηση στο iOS που λέει στον χρήστη πότε η συσκευή διαθέτει μια...