Η εβδομάδα στο Ransomware – 26 Μαΐου 2023

Οι συμμορίες ransomware συνεχίζουν να σφυροκοπούν τις τοπικές κυβερνήσεις σε επιθέσεις, καταστρέφοντας συστήματα πληροφορικής και διακόπτοντας τις διαδικτυακές υπηρεσίες της πόλης.

Νωρίτερα αυτόν τον μήνα, είδαμε ότι με την επίθεση Royal Ransomware στο Ντάλας, και αυτή την εβδομάδα η πόλη της Augusta της Τζόρτζια υφίσταται επίσης κυβερνοεπίθεση.

Ενώ το γραφείο του δημάρχου της Αουγκούστα αποκάλυψε μια δήλωση που αναφέρει ότι υπέστησαν κυβερνοεπίθεση, δεν κοινοποίησαν λεπτομέρειες σχετικά με την παραβίαση.

«Η πόλη της Augusta, GA άρχισε να αντιμετωπίζει τεχνικές δυσκολίες την περασμένη Κυριακή, 21 Μαΐου 2023, που δεν σχετίζονται με τη διακοπή λειτουργίας της περασμένης εβδομάδας, με αποτέλεσμα τη διακοπή ορισμένων συστημάτων υπολογιστών», αναφέρει η Η δήλωση της πόλης.

«Ξεκινήσαμε έρευνα και διαπιστώσαμε ότι ήμασταν θύμα μη εξουσιοδοτημένης πρόσβασης στο σύστημά μας».

Ωστόσο, σήμερα, η επιχείρηση ransomware BlackByte ανέλαβε την ευθύνη για την επίθεση στην Augusta, με τη διαρροή δεδομένων που ισχυρίζονται ότι είχαν κλαπεί κατά τη διάρκεια της επίθεσης.

Άλλες επιθέσεις για τις οποίες μάθαμε περισσότερα αυτή την εβδομάδα περιλαμβάνουν μια επίθεση BlackBasta στη γερμανική εταιρεία όπλων Rheinmetall και την ABB που επιβεβαιώνει ότι κλάπηκαν δεδομένα κατά τη διάρκεια μιας επίθεσης νωρίτερα αυτόν τον μήνα.

Η συμμορία ransomware της Κούβας ανέλαβε επίσης την επίθεση στο The Philadelphia Inquirer. Ωστόσο, αφού ο εκδότης δήλωσε ότι τα δεδομένα δεν του ανήκαν, η Κούβα πήρε την καταχώριση του Inquirer από τον ιστότοπο διαρροής δεδομένων.

Είδαμε επίσης μερικές ενδιαφέρουσες αναφορές που κυκλοφόρησαν από εταιρείες ασφαλείας και ερευνητές:

Τέλος, η θυγατρική του ransomware Bassterlord κυκλοφόρησε μια “ελαφρώς” επεξεργασμένη, αλλά ιδιαίτερα περιζήτητη έκδοση της εγχειριδίου έκδοσης 2.0 του ransomware που πωλούνταν για 10.000 $ σε φόρουμ χάκερ.

Ενώ ορισμένοι ερευνητές θεώρησαν ότι το εγχειρίδιο δεν είχε λεπτομέρειες, οι φορείς απειλών μπορούν ακόμα να το χρησιμοποιήσουν για να αποκτήσουν περισσότερη γνώση και να μάθουν πώς να παραβιάζουν τα εταιρικά δίκτυα.

Αν και δεν κοινοποιούμε αυτό το εγχειρίδιο, συνιστάται όλοι οι υπερασπιστές δικτύου και οι επαγγελματίες ασφάλειας να διαβάσουν τις μεταφρασμένες εκδόσεις που κυκλοφορούν στο Twitter ή μερικές από τις παρακάτω συνδεδεμένες αναλύσεις, για να μάθουν ποιες τακτικές διδάσκονταν.

Οι συνεισφέροντες και εκείνοι που παρείχαν νέες πληροφορίες και ιστορίες ransomware αυτήν την εβδομάδα περιλαμβάνουν: @demonslay335, @malwrhunterteam, @BleepinComputer, @serghei, @billtoulas, @fwosar, @Ionut_Ilascu, @struppigel, @LawrenceAbrams, @Seifreed, @security_score, @Unit42_Intel, @_CPResearch_, @pcrisk, @BroadcomSW, @uuallan, @Jon__DiMaggio, @AShukuhi, @BushidoToken, @BrettCallowκαι @UK_Daniel_Card.

22 Μαΐου 2023

Κακόβουλα προγράμματα οδήγησης πυρήνα των Windows που χρησιμοποιούνται σε επιθέσεις ransomware BlackCat

Η ομάδα ransomware ALPHV (γνωστή και ως BlackCat) παρατηρήθηκε να χρησιμοποιεί υπογεγραμμένα κακόβουλα προγράμματα οδήγησης πυρήνα των Windows για να αποφύγει τον εντοπισμό από λογισμικό ασφαλείας κατά τη διάρκεια επιθέσεων.

Νέες παραλλαγές STOP Ransomware

PCrisk βρήκαν νέες παραλλαγές STOP Ransomware που προσαρτούν το .gapo, .gatqκαι .βλέμμα επεκτάσεις.

Νέα παραλλαγή MedusaLocker

Το PCrisk βρήκε μια νέα παραλλαγή MedusaLocker που προσαρτά το .itlock20 επέκταση (ο αριθμός μπορεί να διαφέρει) και ρίχνει ένα σημείωμα λύτρων με το όνομα How_to_back_files.html.

23 Μαΐου 2023

Μια βαθιά κατάδυση στο Medusa Ransomware

Το ransomware Medusa εμφανίστηκε τον Ιούνιο του 2021 και έγινε πιο ενεργό φέτος με την κυκλοφορία του “Medusa Blog” που περιέχει δεδομένα που διέρρευσαν από θύματα που δεν πλήρωσαν τα λύτρα. Το κακόβουλο λογισμικό σταματά μια λίστα υπηρεσιών και διαδικασιών που αποκρυπτογραφούνται κατά το χρόνο εκτέλεσης και διαγράφει το Volume Shadow
Αντίγραφα.

Υπάλληλος πληροφορικής υποδύεται συμμορία ransomware για να εκβιάσει τον εργοδότη

Ένας 28χρονος από το Ηνωμένο Βασίλειο από το Fleetwood του Hertfordshire, καταδικάστηκε για μη εξουσιοδοτημένη πρόσβαση σε υπολογιστή με εγκληματική πρόθεση και εκβίαση του εργοδότη του.

Η εταιρεία κατασκευής όπλων Rheinmetall επιβεβαιώνει την επίθεση ransomware BlackBasta

Ο γερμανικός κατασκευαστής αυτοκινήτων και όπλων Rheinmetall AG επιβεβαιώνει ότι υπέστη επίθεση ransomware BlackBasta που επηρέασε τις μη στρατιωτικές επιχειρήσεις της.

Το ransomware της Κούβας αξιώνει κυβερνοεπίθεση στο Philadelphia Inquirer

Η συμμορία ransomware της Κούβας ανέλαβε την ευθύνη για την κυβερνοεπίθεση αυτού του μήνα στο The Philadelphia Inquirer, η οποία διέκοψε προσωρινά τη διανομή της εφημερίδας και διέκοψε ορισμένες επιχειρηματικές δραστηριότητες.

24 Μαΐου 2023

Ιρανοί χάκερ χρησιμοποιούν νέο ransomware Moneybird για να επιτεθούν σε ισραηλινά όργανα

Ένας ύποπτος παράγοντας απειλών που υποστηρίζεται από το Ιράν, γνωστός ως «Agrius» αναπτύσσει τώρα ένα νέο στέλεχος ransomware με το όνομα «Moneybird» εναντίον ισραηλινών οργανώσεων.

25 Μαΐου 2023

Η νέα συμμορία ransomware Buhti χρησιμοποιεί κρυπτογραφητές Windows και Linux που έχουν διαρρεύσει

Μια νέα λειτουργία ransomware που ονομάζεται «Buhti» χρησιμοποιεί τον κώδικα που διέρρευσε από τις οικογένειες ransomware LockBit και Babuk για να στοχεύσει συστήματα Windows και Linux, αντίστοιχα.

Νέες παραλλαγές STOP Ransomware

Το PCrisk βρήκε νέες παραλλαγές STOP Ransomware που προσαρτούν το .βαπο, .vatqκαι .vaze επεκτάσεις.

Νέο FAST ransomware

Το PCrisk βρήκε ένα νέο ransomware που προσαρτά το .ΓΡΗΓΟΡΑ επέκταση και ρίχνει ένα σημείωμα λύτρων με το όνομα #FILEENCRYPTED.txt.

Πραγματικά? 10.000 $ για ΑΥΤΟ; Μια ματιά στην έκδοση 2.0 του εγχειριδίου Basterlord

Ο Basterlord κυκλοφόρησε την πολύ περιζήτητη 2η έκδοση του εγχειριδίου του στο Twitter.

26 Μαΐου 2023

Το BlackByte ransomware διεκδικεί κυβερνοεπίθεση στην City of Augusta

Η πόλη Augusta στη Τζόρτζια των ΗΠΑ, επιβεβαίωσε ότι η πιο πρόσφατη διακοπή του συστήματος πληροφορικής προκλήθηκε από μη εξουσιοδοτημένη πρόσβαση στο δίκτυό της.

Ο εργολάβος της αμερικανικής κυβέρνησης ABB επιβεβαιώνει επίθεση ransomware, κλοπή δεδομένων

Η ελβετική πολυεθνική εταιρεία τεχνολογίας και η ABB της κυβέρνησης των ΗΠΑ επιβεβαίωσε ότι ορισμένα από τα συστήματά της επηρεάστηκαν από μια επίθεση ransomware, η οποία προηγουμένως είχε περιγραφεί από την εταιρεία ως «ένα περιστατικό ασφάλειας πληροφορικής».

Νέο EXISC ransomware

Το PCrisk βρήκε μια νέα παραλλαγή ransomware που προσαρτά το .ΥΠΑΡΧΗ επέκταση και ρίχνει ένα σημείωμα λύτρων με το όνομα Επικοινωνήστε μαζί μας για Restore.txt.

Ανάλυση του «THE MANUAL»

Χθες ο Basterlord (ένας διαβόητος χειριστής ransomware) δημοσίευσε ένα αντίγραφο του “Networking Manual v2.0” (το οποίο θα αναφέρω ως “το εγχειρίδιο”). Οπότε φυσικά σκέφτηκα ότι θα έπρεπε να το αναλύσουμε και να δούμε τι πουλούσε για 10 χιλιάδες δολάρια!

Διαδικτυακό σεμινάριο κατ’ απαίτηση: The Lord Has Fallen

Γίνετε μέλος του συγγραφέα του Ransomware Diaries: Volume 2- A Ransomware Hacker Origin Story, Jon DiMaggio, για μια βουτιά στις προεκτάσεις που αντιμετώπισε ο Bassterlord από τότε που κυκλοφόρησε η ιστορία του.

Αυτά για αυτήν την εβδομάδα! Ελπίζω όλοι να έχουν ένα όμορφο Σαββατοκύριακο!