ΑρχικήsecurityNews sites παραβιάστηκαν λόγω WastedLocker ransomware επιθέσεων!

News sites παραβιάστηκαν λόγω WastedLocker ransomware επιθέσεων!

Η Ρωσική συμμορία “Evil Corp”, που είναι γνωστή και ως “Dridex”, παραβίασε δεκάδες news sites των ΗΠΑ που ανήκουν στην ίδια εταιρεία, με στόχο να μολύνει τους υπαλλήλους πάνω από 30 μεγάλων ιδιωτικών εταιρειών της χώρας, χρησιμοποιώντας ψεύτικες ειδοποιήσεις ενημέρωσης λογισμικού που εμφανίζονται από το κακόβουλο SocGholish JavaScript-based framework. Οι υπολογιστές των υπαλλήλων αυτών των εταιρειών χρησιμοποιήθηκαν ως ένα μέσο για την εισβολή της συμμορίας στα εταιρικά δίκτυα, στα πλαίσια μιας σειράς drive-by επιθέσεων. Η Symantec επιβεβαίωσε την είδηση ότι δεκάδες news sites των ΗΠΑ που ανήκουν στην ίδια μητρική εταιρεία παραβιάστηκαν από τον κώδικα SocGholish. Σύμφωνα με τη Symantec, ορισμένοι οργανισμοί που βρίσκονται στο στόχαστρο το WastedLocker ransomware, θα μπορούσαν να παραβιαστούν εάν κάποιος υπάλληλός τους έκανε περιήγηση στις ειδήσεις σε ένα από τα sites του. Ερευνητές από την ομάδα του Threat Intelligence της Symantec που ανακάλυψαν αυτές τις επιθέσεις, ανέφεραν ότι η εταιρεία στην οποία ανήκουν τα news sites που παραβιάστηκαν, ειδοποιήθηκε κι έτσι, ο κακόβουλος κώδικας καταργήθηκε.


Η Symantec ανέφερε σε μια έκθεση που δημοσιεύθηκε στα τέλη του προηγούμενου μήνα ότι εμπόδισε τη συμμορία “Evil Corp” να αναπτύξει WastedLocker ransomware payloads κατά τις επιθέσεις της εναντίον 31 μεγάλων ιδιωτικών εταιρειών. Από αυτές τις εταιρείες, οι 30 ήταν αμερικανικές, εκ των οποίων οκτώ ήταν “Fortune 500 εταιρείες”.


Η Evil Corp οργάνωσε επιθέσεις σε μια μεγάλη γκάμα βιομηχανικών τομέων, ενώ τομείς που αφορούν την κατασκευή, την τεχνολογία πληροφοριών και τις τηλεπικοινωνίες βρίσκονται επίσης στο επίκεντρο των επιθέσεων. Η Symantec επεσήμανε πως εάν τα μέλη της Evil Corp δεν είχαν αποδεκατιστεί, θα μπορούσαν να πραγματοποιήσουν επιτυχείς επιθέσεις, οι οποίες θα μπορούσαν να προκαλέσουν ζημιές εκατομμυρίων. Όπως εξήγησαν οι ερευνητές της Symantec, οι επιθέσεις της Evil Corp ξεκίνησαν με το SocGholish framework, το οποίο χρησιμοποιούταν για τη μόλυνση στόχων που επισκέφτηκαν περισσότερα από 150 παραβιασμένα sites. Αυτό γινόταν με την εμφάνιση ψεύτικων ειδοποιήσεων ενημέρωσης λογισμικού που διένεμαν payloads κακόβουλου λογισμικού στις συσκευές των στόχων, τα οποία παρουσιάζονταν ως ενημερώσεις προγραμμάτων.

επιθέσεις

Αφού μόλυναν τον υπάλληλο μιας εταιρείας, οι χάκερς της Evil Corp χρησιμοποιούσαν το λογισμικό προσομοίωσης απειλών Cobalt Strike και διάφορα εργαλεία για να κλέψουν credentials, να πετύχουν κλιμάκωση προνομίων και να αναλάβουν τον έλεγχο του δικτύου, έχοντας ως τελικό στόχο την κρυπτογράφηση υπολογιστών με το WastedLocker ransomware. Πριν την ανάπτυξη του ransomware, οι χάκερς απενεργοποιούσαν το Windows Defender σε ολόκληρο το δίκτυο των στόχων τους, χρησιμοποιώντας PowerShell scripts και νόμιμα εργαλεία.


Εάν τα payloads του WastedLocker ransomware αναπτύσσονταν με επιτυχία με την χρήση του εργαλείου Windows Sysinternals PsExec, θα μπορούσαν να κρυπτογραφήσουν τα δεδομένα των θυμάτων και να διαγράψουν τα Windows shadow volumes προκειμένου να διαγραφούν τα αντίγραφα ασφαλείας και τα στιγμιότυπα αρχείων και να καταστεί αδύνατη η ανάκτησή τους.

news sites

Η Evil Corp δραστηριοποιείται τουλάχιστον από το 2007 και διένειμε το Dridex malware toolkit, το οποίο χρησιμοποιήθηκε αργότερα για τη διάδοση malware payloads άλλων κακόβουλων παραγόντων. Η συμμορία συμμετείχε επίσης στη διανομή του Locky ransomware, καθώς και του δικού της στελέχους ransomware, που ήταν γνωστό ως “BitPaymer” μέχρι το 2019. Επιπλέον, δύο μέλη της συμμορίας κατηγορήθηκαν από το Υπουργείο Δικαιοσύνης των ΗΠΑ στα τέλη του 2019 για συμμετοχή σε απάτες και διαδικτυακές εισβολές σε διεθνείς τράπεζες, που είχαν ως αποτέλεσμα την κλοπή τουλάχιστον 100 εκατομμυρίων δολαρίων. Έκτοτε, η Evil Corp ανανέωσε τις τακτικές της και τώρα εμφανίζεται και πάλι στο πεδίο του ransomware, αναπτύσσοντας το νέο της WastedLocker ransomware κατά την εκτέλεση επιθέσεων που έχουν ως στόχο επιχειρήσεις, και ζητώντας λύτρα εκατομμυρίων δολαρίων.

Pohackontas
Pohackontashttps://www.secnews.gr
Every accomplishment starts with the decision to try.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS