Τρίτη, 1 Δεκεμβρίου, 11:34
Αρχική security Ποια είναι malware που συνήθως εγκαθιστούν ransomware;

Ποια είναι malware που συνήθως εγκαθιστούν ransomware;

Εάν δείτε κάποιο από αυτά τα malware στα εταιρικά σας δίκτυα, σταματήστε ό, τι κάνετε και ελέγξτε όλα τα συστήματα σας.

malware ransomware

Αυτό το άρθρο επικεντρώνεται στα γνωστά στελέχη malware που έχουν χρησιμοποιηθεί τα τελευταία δύο χρόνια για την εγκατάσταση ransomware. Η λίστα πραγματοποιήθηκε με την βοήθεια διαφόρων ερευνητών ασφαλείας από την Advanced Intelligence, την Binary Defense και τη Sophos, η παρακάτω λίστα θα πρέπει να χρησιμεύσει ως “οδηγός επικινδυνότητας” για κάθε οργανισμό.

Μόλις εντοπιστεί κάποιο από αυτά τα στελέχη malware, οι διαχειριστές συστήματος θα πρέπει να θέσουν εκτός δικτύου τα συστήματα τους (να τα βάλουν offline) και να ελέγξουν και να καταργήσουν το malware ως κορυφαία προτεραιότητα.

1.Το Emotet θεωρείται το μεγαλύτερο malware botnet που κυκλοφορεί σήμερα.

Συνήθως, η ομάδα του Emotet πουλάει την πρόσβαση στα μολυσμένα συστήματα της σε άλλες συμμορίες κακόβουλου λογισμικού, οι οποίες αργότερα πωλούν τη δική τους πρόσβαση σε συμμορίες ransomware.

Σήμερα, η πιο συνηθισμένη αλυσίδα λοίμωξης ransomware που συνδέεται με το Emotet είναι: Emotet – Trickbot – Ryuk

2. Το Trickbot είναι ένα malware botnet παρόμοιο με το Emotet. Το Trickbot μολύνει τα θύματα του, αλλά είναι επίσης γνωστό ότι αγοράζει προσβάσεις σε συστήματα που έχουν μολυνθεί από το Emotet.

Κατά τα τελευταία δύο χρόνια, οι ερευνητές ασφαλείας είδαν το Trickbot να πωλεί πρόσβαση στα συστήματά του σε συμμορίες εγκλημάτων στον κυβερνοχώρο που αργότερα ανέπτυξαν το Ryuk και αργότερα το ransomware Conti.

3. Το BazarLoader θεωρείται επί του παρόντος ως ένα modular backdoor που αναπτύχθηκε από μια ομάδα με συνδέσμους ή που ξεκίνησε από την κύρια συμμορία Trickbot. Ούτως ή άλλως, ανεξάρτητα από το πως δημιουργήθηκε, η ομάδα ακολουθεί το μοντέλο του Trickbot και έχει ήδη συνεργαστεί με συμμορίες ransomware για να παρέχει πρόσβαση στα συστήματα που μολύνουν.

Επί του παρόντος, το BazarLoader έχει θεωρηθεί ως το σημείο εκκίνησης για μολύνσεις με το Ryuk ransomware.

4. Το QakBot, Qbot ή Quakbot αναφέρεται μερικές φορές μέσα στην κοινότητα του infosec ως “πιο αργό” Emotet επειδή συνήθως κάνει αυτό που κάνει το Emotet, αλλά λίγους μήνες αργότερα.

Με τη συμμορία Emotet να επιτρέπει στα συστήματα της να χρησιμοποιούνται για την ανάπτυξη ransomware, η ομάδα του QakBot συνεργάστηκε πρόσφατα με διαφορετικές συμμορίες ransomware. Πρώτα με την MegaCortex, έπειτα με την ProLock και επί του παρόντος με τη συμμορία του Egregor ransomware.

5. Το SDBBot είναι ένα malware που λειτουργεί από μια ομάδα που αναφέρεται ως TA505. Δεν είναι ένα κοινό στέλεχος malware, αλλά έχει θεωρηθεί το σημείο προέλευσης των περιστατικών όπου το Clop ransomware αναπτύχθηκε.

6. Το Dridex είναι ένα ακόμη κακόβουλο λογισμικό που έχει ως στόχο τις τράπεζες που έχει παρουσιαστεί ως “malware downloader”, ακολουθώντας τα παραδείγματα που έθεσαν τα Emotet και Trickbot το 2017.

Ενώ στο παρελθόν, το botnet Dridex έχει χρησιμοποιήσει spam εκστρατείες για να διανείμει το Locky ransomware σε τυχαίους χρήστες στο διαδίκτυο, τα τελευταία χρόνια οι χάκερ του χρησιμοποιούν υπολογιστές που έχουν μολύνει για να διασπείρουν είτε τα BitPaymer είτε τα στελέχη DoppelPaymer ransomware – για πιο στοχευμένες επιθέσεις εναντίον στόχων υψηλής αξίας.

7. Το Zloader προχωρά γρήγορα και έχει ήδη δημιουργήσει συνεργασίες με τους χειριστές των ransomware Egregor και Ryuk. Εάν υπάρχει μια λειτουργία malware που έχει τη δυνατότητα και τις συνδέσεις να επεκταθεί, αυτό είναι το Zloader.

8. Το Buer, ή το Buer Loader, είναι μια λειτουργία κακόβουλου λογισμικού που ξεκίνησε στα τέλη του περασμένου έτους, αλλά έχει ήδη δημιουργήσει μια φήμη και συνδέσεις με κυβερνοεγκληματίες για να συνεργαστεί με ομάδες ransomware.

Σύμφωνα με την Sophos, ορισμένα περιστατικά όπου ανακαλύφθηκε το Ryuk ransomware συνδέθηκαν πριν λίγες μέρες με μολύνσεις Buer.

9. Το Phorpiex ή το Trik, είναι ένα από τα μικρότερα botnets κακόβουλου λογισμικού, αλλά αυτό δεν σημαίνει ότι είναι λιγότερο επικίνδυνο. Οι μολύνσεις με το ransomware Avaddon που παρατηρήθηκαν νωρίτερα φέτος έχουν συνδεθεί με το Phorpiex. Αν και ούτε το Avaddon ούτε το Phorpiex είναι ιδιαίτερα γνωστά, θα πρέπει να αντιμετωπίζονται με το ίδιο επίπεδο προσοχής με τα Emotet, Trickbot και άλλα.

10. Το CobaltStrike δεν είναι malware botnet. Είναι στην πραγματικότητα ένα εργαλείο penetration testing που αναπτύχθηκε για τους ερευνητές ασφάλειας στον κυβερνοχώρο και συχνά χρησιμοποιείται από διάφορες συμμορίες malware.

Οι εταιρείες δεν μολύνονται με το CobaltStrike. Ωστόσο, πολλές συμμορίες ransomware αναπτύσσουν components CobaltStrike ως μέρος των εισβολών τους. Το εργαλείο χρησιμοποιείται συχνά ως τρόπος ελέγχου πολλαπλών συστημάτων μέσα σε ένα εσωτερικό δίκτυο και ως πρόδρομος της πραγματικής επίθεσης ransomware.

Συμπεριλάβαμε το CobaltStrike στη λίστα μας κατόπιν αιτήματος των πηγών μας, οι οποίες το θεωρούν τόσο επικίνδυνο όσο ένα κανονικό στέλεχος malware. Εάν το βλέπετε στο δίκτυο σας και δεν κάνετε κάποιο penetration test, σταματήστε όλα όσα κάνετε, βάλτε τα συστήματα εκτός σύνδεσης και ελέγξτε όλα σας τα συστήματα για να εντοπίσετε την επίθεση.

Πηγή: zdnet.com

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

LIVE NEWS

Πώς θα κρατήσετε ασφαλή τον Apple λογαριασμό σας

Ο λογαριασμός Apple ή αλλιώς το Apple ID, είναι απαραίτητος σε κάθε χρήστη καθώς επιτρέπει την πρόσβαση σε διάφορες συσκευές και υπηρεσίες...

Gootkit malware: Επιστρέφει και στοχεύει μαζί με το REvil τη Γερμανία!

Το Gootkit, ένα trojan που κλέβει πληροφορίες από τα συστήματα των θυμάτων του, κάνει την επανεμφάνισή του στο τοπίο των απειλών, ύστερα...

AspenPointe: Ο πάροχος υγειονομικής περίθαλψης των ΗΠΑ υπέστη data breach

Ο πάροχος υγειονομικής περίθαλψης των ΗΠΑ “AspenPointe” ενημέρωσε τους ασθενείς του για data breach που προήλθε από μία κυβερνοεπίθεση του Σεπτεμβρίου, με...

Βερμόντ: Τα νοσοκομεία του ακόμα ανακάμπτουν από την επίθεση του Ryuk ransomware

Τα νοσοκομεία του Βερμόντ συνεχίζουν να ανακάμπτουν από τον Οκτώβριο που υπέστησαν επίθεση από το Ryuk ransomware, επαναφέροντας σιγά-σιγά τις υπηρεσίες τους...

Αύξηση των malware που στοχεύουν Docker συστήματα

Προς το τέλος του 2017, οι ερευνητές ασφαλείας παρατήρησαν μια μεγάλη αλλαγή στις malware επιθέσεις. Καθώς οι τεχνολογίες που βασίζονται στο cloud...

Τέσσερις κορυφαίες ευπάθειες στα σημερινά αυτοκίνητα

Τα αυτοκίνητα στις μέρες μας, διαθέτουν αρκετά τεχνολογικά μέσα. Ακόμα και πριν βάλετε μπροστά το αυτοκίνητό σας, εκείνο επικοινωνεί ενεργά με τον...

WebKit: Ευπάθειες επιτρέπουν εκτέλεση κώδικα μέσω κακόβουλων sites

Σύμφωνα με τους ερευνητές ασφαλείας της Cisco Talos, το WebKit browser engine είναι αυτή τη στιγμή ευάλωτο...

ΗΠΑ: Πρώτες στον κόσμο στις παραβιάσεις δεδομένων

Σύμφωνα με μία αναφορά της Uswitch, οι ΗΠΑ κατέχουν την πρώτη θέση στις παραβιάσεις δεδομένων στον κόσμο, ξεπερνώντας την Κίνα, την Ινδία...

Microsoft: Συνδέει κρατικούς hackers του Βιετνάμ με crypto-mining εκστρατεία

Σύμφωνα με μια έκθεση της Microsoft, μια hacking ομάδα που συνδέεται με τη κυβέρνηση του Βιετνάμ, άρχισε να χρησιμοποιεί ένα crypto-mining malware...

Hackers από το Βιετνάμ χρησιμοποιούν νέο macOS backdoor

Οι ερευνητές της Trend Micro έχουν εντοπίσει ένα νέο macOS backdoor που πιστεύουν ότι χρησιμοποιείται από τη hacking ομάδα του Βιετνάμ, OceanLotus.