Αυτή ήταν μια κακή εβδομάδα για το ransomware, με το Trigona ransomware να υφίσταται παραβίαση δεδομένων και οι αρχές επιβολής του νόμου να διακόπτουν τη λειτουργία του ransomware RagnarLocker.
Την περασμένη εβδομάδα, Ουκρανοί hacktivists γνωστοί ως Ukrainian Cyber Alliance χάκαραν τους διακομιστές της συμμορίας Trigona εκμεταλλευόμενοι μια ευπάθεια στον διακομιστή Confluence τους.
Αυτό τελικά επέτρεψε στους ακτιβιστές να παραβιάσουν άλλους ιστότοπους που διαχειρίζεται η Trigona για να λάβουν δεδομένα, αντίγραφα εσωτερικών συνομιλιών και τον πηγαίο κώδικα του ιστότοπου. Στη συνέχεια σκούπισαν τις τοποθεσίες διαπραγμάτευσης και διαρροής δεδομένων του Trigona Tor, παραποιώντας τους με το παρακάτω μήνυμα.
Παραμόρφωση
Τρίγωνα
Πηγή: BleepingComputer
Τρίγωνα
παραδέχτηκε αργότερα
παραβιάστηκαν και είπαν ότι σχεδιάζουν να ξεκινήσουν νέες τοποθεσίες στις 22 Οκτωβρίου.
Την Πέμπτη, ο ιστότοπος διαρροής δεδομένων RagnarLocker και ο ιστότοπος διαπραγματεύσεων άρχισαν επίσης να δείχνουν ένα νέο μήνυμα, αυτή τη φορά ένα πανό κατάσχεσης από τις αρχές επιβολής του νόμου από Γαλλία, Τσεχία, Γερμανία,
Ιταλία
, Λετονία, Ολλανδία, Ισπανία, Σουηδία, Ιαπωνία, Καναδά , και των Ηνωμένων Πολιτειών.
Ως μέρος αυτής της διεθνούς επιχείρησης επιβολής του νόμου, η αστυνομία συνέλαβε έναν προγραμματιστή κακόβουλου λογισμικού που συνδέεται με τη συμμορία ransomware RagnarLocker και κατέλαβε τους σκοτεινούς ιστότοπους της ομάδας
Πανό κατάσχεσης RagnarLocker
Πηγή: BleepingComputer
Πρόκειται για μια σημαντική ενέργεια καθώς το RagnarLocker είναι μια από τις παλαιότερες, ακόμα ενεργές επιχειρήσεις ransomware, έχοντας πραγματοποιήσει επιθέσεις εναντίον 168 διεθνών εταιρειών παγκοσμίως από το 2020
Σε άλλα νέα, μάθαμε περισσότερα για κυβερνοεπιθέσεις εναντίον διαφόρων εταιρειών, με α
Επίθεση BlackBasta κατά της τηλεοπτικής διαφημιστικής εταιρείας Ampersand
και το Kwik Trip επιβεβαιώνοντας τελικά ότι υπέστησαν κυβερνοεπίθεση, αν και δεν επιβεβαιώθηκε ότι ήταν ransomware.
Τέλος, οι ερευνητές της κυβερνοασφάλειας δημοσίευσαν ενδιαφέρουσες αναφορές για ransomware, όπως:
Οι συνεισφέροντες και εκείνοι που παρείχαν νέες πληροφορίες και ιστορίες ransomware αυτήν την εβδομάδα περιλαμβάνουν:
@LawrenceAbrams
,
@serghei
,
@fwosar
,
@Ionut_Ilascu
,
@billtoulas
,
@Seifreed
,
@demonslay335
,
@malwrhunterteam
,
@BleepinComputer
,
@vx_herm1t
,
@AlvieriD
,
@AShukuhi
,
@pcrisk
,
@rivitna2
,
@BushidoToken
,
@ResilienceSays
,
@SophosXOps
,
@Unit42_Intel
,
@jgreigj
,
@azalsecurity
,
@AShukuhi
,
@Cynet360
,
@FalconFeedsio
και
@cyber_int
.
15 Οκτωβρίου 2023
Το Colonial Pipeline αποδίδει ισχυρισμούς ransomware σε «άσχετη» παραβίαση δεδομένων τρίτων
Η Colonial Pipeline είπε ότι δεν υπήρξε καμία διακοπή στις λειτουργίες του αγωγού ή στα συστήματά τους μετά από πολλές απειλές από μια συμμορία ransomware το απόγευμα της Παρασκευής.
16 Οκτωβρίου 2023
Νέες παραλλαγές ransomware STOP
PCrisk
βρήκε νέες παραλλαγές ransomware STOP που προσαρτούν το
.ptqw
και
.pthh
επεκτάσεις.
Νέα παραλλαγή MedusaLocker
Το PCrisk βρήκε μια νέα παραλλαγή MedusaLocker που προσαρτά το
.crypto1317
επέκταση και ρίχνει ένα σημείωμα λύτρων με το όνομα
How_to_back_files.html
.
Νέα παραλλαγή Chaos
Το PCrisk βρήκε μια νέα παραλλαγή Chaos που προσαρτά το
.MesaCorp
επέκταση και ρίχνει ένα σημείωμα λύτρων με το όνομα
read_it.txt
.
17 Οκτωβρίου 2023
Το KwikTrip λέει ότι η διακοπή
πληροφορική
ς προκλήθηκε από κυβερνοεπίθεση
Η Kwik Trip κυκλοφόρησε άλλη μια δήλωση σχετικά με μια συνεχιζόμενη διακοπή λειτουργίας, επιβεβαιώνοντας ότι υπέστη κυβερνοεπίθεση που οδήγησε σε διακοπές του συστήματος πληροφορικής.
Ο γίγαντας πωλήσεων τηλεοπτικών διαφημίσεων επηρεάστηκε από επίθεση ransomware
Μια εταιρεία πωλήσεων τηλεοπτικών διαφημίσεων και τεχνολογίας που ανήκει από κοινού στους τρεις μεγαλύτερους καλωδιακούς φορείς των ΗΠΑ επλήγη από επίθεση ransomware τις τελευταίες εβδομάδες που επηρέασε τις λειτουργίες.
Νέα παραλλαγή Ντάρμα
Το PCrisk βρήκε μια νέα παραλλαγή ransomware Dharma που προσαρτά το
.2023
επέκταση.
Νέα παραλλαγή STOP
Το PCrisk βρήκε μια νέα παραλλαγή ransomware Dharma που προσαρτά το
.ptrz
επέκταση.
Νέο ransomware EarthGrass
Το PCrisk βρήκε ένα νέο ransomware με το όνομα EarthGrass που προσαρτά το
.34r7hGr455
επέκταση και ρίχνει ένα σημείωμα λύτρων με το όνομα
Διαβάστε ΜΕ (Αποκρυπτογράφηση).txt
.
Νέο ransomware KeyLock
Το PCRisk βρήκε το νέο ransomware KeyLocker που προσαρτά το
.κλειδαριά
επέκταση και ρίχνει ένα σημείωμα λύτρων με το όνομα
README-id-[username].κείμενο
.
18 Οκτωβρίου 2023
Ουκρανοί ακτιβιστές χακάρουν τη συμμορία ransomware Trigona, σκουπίζουν διακομιστές
Μια ομάδα ακτιβιστών στον κυβερνοχώρο κάτω από το πανό της Ουκρανικής Κυβερνοσυμμαχίας (UCA) έχει χακάρει τους διακομιστές της συμμορίας ransomware Trigona και τους σκουπίζει αφού αντιγράψει όλες τις διαθέσιμες πληροφορίες.
Έκθεση αξιώσεων Resilience 2023
Το πρώτο εξάμηνο του 2023 γνώρισε για άλλη μια φορά μια αναταραχή στη βιομηχανία του εγκλήματος στον κυβερνοχώρο. Από ρωσικές εταιρείες που δυνητικά αδειοδοτούν προηγμένο
κακόβουλο λογισμικό
για συνεργάτες στις ΗΠΑ και το Ηνωμένο Βασίλειο, μέχρι επιθέσεις εναντίον σχετικά άγνωστων τρίτων προμηθευτών SaaS που κλιμακώνονται σε χιλιάδες οργανισμούς-θύματα ταυτόχρονα, οι φορείς του εγκλήματος στον κυβερνοχώρο αντιδρούν και πάλι με επιδεξιότητα σε μια αλλαγή στην αγορά τους. Καθώς οι εταιρείες γίνονται πιο ανθεκτικές στις πληρωμές εκβιασμών, η Resilience βλέπει μια κίνηση προς την κατεύθυνση της αναζήτησης μεγαλύτερων ψαριών και της κολύμβησης ανάντη για να χτυπήσει τους πωλητές και να παρακάμψει τους ελέγχους ασφαλείας. Αυτό έχει σημαντικές επιπτώσεις για όσους υπερασπίζονται τις οργανώσεις τους και προσπαθούν να περιορίσουν τις οικονομικές απώλειες από αυτούς τους παράγοντες.
GhostLocker: The New Ransomware On The Block
Την περασμένη εβδομάδα, εμφανίστηκε η δημιουργία ενός νέου franchise ransomware με το όνομα GhostLocker. Το Ghost Locker είναι ένα νέο Ransomware-as-a-Service (Raas) που ιδρύθηκε από διάφορες ομάδες hacktivist με επικεφαλής την GhostSec.
Οι φιλοπαλαιστίνιοι hacktivisits ισχυρίζονται ότι χρησιμοποιούν ransomware Crucio
Μια νέα φιλοπαλαιστινιακή ομάδα χακτιβιστών που ονομάζεται Soldiers Of Solomon ισχυρίζεται ότι αναπτύσσει ένα νέο Crucio Ransomware.
19 Οκτωβρίου 2023
Οι ιστότοποι εκβιασμών του σκοτεινού ιστού του Ragnar Locker ransomware κατασχέθηκαν από την αστυνομία
Οι ιστότοποι διαπραγμάτευσης Tor και διαρροής δεδομένων της επιχείρησης ransomware Ragnar Locker κατασχέθηκαν το πρωί της Πέμπτης στο πλαίσιο διεθνούς επιχείρησης επιβολής του νόμου.
Το BlackCat ransomware χρησιμοποιεί το νέο «Munchkin» Linux VM σε κρυφές επιθέσεις
Η λειτουργία ransomware BlackCat/ALPHV έχει αρχίσει να χρησιμοποιεί ένα νέο εργαλείο που ονομάζεται «Munchkin» που χρησιμοποιεί εικονικές μηχανές για την ανάπτυξη κρυπτογραφητών σε συσκευές δικτύου κρυφά.
Ο ηθοποιός ransomware εκμεταλλεύεται μη υποστηριζόμενους διακομιστές ColdFusion—αλλά φεύγει με άδεια χέρια
Τον Σεπτέμβριο και τις αρχές Οκτωβρίου, είδαμε αρκετές προσπάθειες από έναν μέχρι πρότινος άγνωστο παράγοντα να αξιοποιήσει τρωτά σημεία σε παρωχημένες, μη υποστηριζόμενες εκδόσεις του λογισμικού ColdFusion Server της Adobe για να αποκτήσει πρόσβαση στους διακομιστές Windows στους οποίους λειτουργούσαν και να στραφεί στην ανάπτυξη ransomware. Καμία από αυτές τις επιθέσεις δεν ήταν επιτυχής, αλλά παρείχαν τηλεμετρία που μας επέτρεψε να τις συσχετίσουμε με έναν μόνο ηθοποιό ή ομάδα ηθοποιών και να ανακτήσουμε τα ωφέλιμα φορτία που προσπάθησαν να αναπτύξουν.
Ανάλυση ransomware Megazord
Μια νέα έκδοση του
Akira
ransomware που ονομάζεται “Megazord” εμφανίστηκε γύρω στον Αύγουστο του 2023. Αλλάζει τα ονόματα των αρχείων σας προσθέτοντας “.Powerrangers” στο τέλος. Αρκετές ομοιότητες στατικών και κωδικών υποδηλώνουν ότι το Megazord θα μπορούσε να είναι μια προσπάθεια να δώσει στον Akira μια νέα εμφάνιση. Μια τέτοια αλλαγή μπορεί να είναι μια προσπάθεια αλλαγής της επωνυμίας του Akira ransomware, καθώς έχει γίνει οικείο στην ευρεία αναγνώριση σε όλη την κοινότητα της κυβερνοασφάλειας.
Η Trigona’s απαντά στην κατάργησή τους από την UCA
Όπως φαίνεται από
AzAl Security
η λειτουργία ransomware Trigona ανταποκρίθηκε στην κατάργηση των τοποθεσιών τους από την UCA, ισχυριζόμενη ότι θα επιστρέψει στις 22.
20 Οκτωβρίου 2023
Η Kwik Trip επιβεβαιώνει τελικά ότι η κυβερνοεπίθεση ήταν πίσω από τη συνεχιζόμενη διακοπή λειτουργίας
Δύο εβδομάδες μετά τη συνεχιζόμενη διακοπή της πληροφορικής, η Kwik Trip επιβεβαίωσε τελικά ότι διερευνά μια κυβερνοεπίθεση που επηρεάζει το εσωτερικό δίκτυο της αλυσίδας καταστημάτων ψιλικών από τις 9 Οκτωβρίου.
Συνελήφθη στη Γαλλία ο προγραμματιστής ransomware Ragnar Locker
Οι αρχές επιβολής του νόμου συνέλαβαν έναν προγραμματιστή κακόβουλου λογισμικού που συνδέεται με τη συμμορία ransomware Ragnar Locker και κατέλαβαν τους σκοτεινούς ιστοτόπους της ομάδας σε μια κοινή διεθνή επιχείρηση.
Νέες παραλλαγές ransomware STOP
Το PCrisk βρήκε νέες παραλλαγές ransomware STOP που προσαρτούν το
.ιθ
,
.itqw
και
.itrz
επεκτάσεις.
Το New Hunters International χρησιμοποιεί κρυπτογράφηση Hive
rivitna
ανακάλυψε το νέο ransomware Hunters International, το οποίο φαίνεται να χρησιμοποιεί έναν κρυπτογραφητή από τη λειτουργία Hive.
Αυτά για αυτήν την εβδομάδα! Ελπίζω όλοι να έχουν ένα όμορφο Σαββατοκύριακο!
VIA:
bleepingcomputer.com