Οι κυβερνήσεις αντέδρασαν αυτή την εβδομάδα εναντίον μελών επιχειρήσεων ransomware, επιβάλλοντας κυρώσεις σε έναν παράγοντα απειλών και καταδικάζοντας έναν άλλο σε φυλάκιση.
Την Τρίτη, οι κυβερνήσεις της Αυστραλίας, των
ΗΠΑ
και του Ηνωμένου Βασιλείου ανακοίνωσαν κυρώσεις κατά του Aleksandr Gennadievich Ermakov, ενός Ρώσου υπηκόου που πιστεύεται ότι είναι υπεύθυνος για το hack της Medibank το 2022 και μέλος της ομάδας ransomware REvil.
Σε ένα
αναφορά από την Intel471
, μαθαίνουμε ότι ο Ermakov είχε εκτεταμένη ανάμειξη στο έγκλημα στον κυβερνοχώρο, μεταξύ άλλων ως χειριστής ransomware και θυγατρική. Ο παράγοντας της απειλής πιστεύεται επίσης ότι εμπλέκεται τόσο σε νόμιμη όσο και σε εγκληματική ανάπτυξη λογισμικού.
Την Πέμπτη, η κυβέρνηση των ΗΠΑ καταδίκασε επίσης τον Ρώσο υπήκοο Vladimir Dunaev σε φυλάκιση πέντε ετών και τεσσάρων μηνών για βοήθεια στη δημιουργία και διανομή του κακόβουλου λογισμικού TrickBot και συνεργασία με λειτουργίες ransomware.
«Ο Dunaev ήταν ένας προγραμματιστής κακόβουλου λογισμικού για τον όμιλο Trickbot, ο οποίος επέβλεπε τη δημιουργία κωδικών έγχυσης προγράμματος περιήγησης στο Διαδίκτυο, αναγνώρισης μηχανής και συλλογής δεδομένων που χρησιμοποιούνται από το κακόβουλο λογισμικό Trickbot», αναφέρεται στην
καταγγελία
κατά του Dunaev και των συνεργατών του.
ο
Δελτίο τύπου του DOJ
δηλώνει επίσης ότι ο Dunaev ανέπτυξε επίσης ransomware και βοήθησε στην ανάπτυξή του για να επιτεθεί σε αμερικανικά νοσοκομεία, σχολεία και επιχειρήσεις στις ΗΠΑ.
Δυστυχώς, μάθαμε επίσης για πολλές επιθέσεις μεγάλης κλίμακας αυτήν την εβδομάδα, συμπεριλαμβανομένης μιας επίθεσης Akira στο Tietoevry, μιας επίθεσης στον κολοσσό των υπηρεσιών ύδρευσης Veolia
North America
και μιας επίθεσης στην εταιρεία fintech Equilend, την οποία ανέλαβε η LockBit.
Το loanDepot μοιράστηκε επίσης περισσότερες πληροφορίες σχετικά με τον αντίκτυπο της επίθεσης ransomware της 6ης Ιανουαρίου, δηλώνοντας ότι εξέθεσε τα δεδομένα 16,6 εκατομμυρίων ανθρώπων.
Οι συνεισφέροντες και εκείνοι που παρείχαν νέες πληροφορίες και ιστορίες ransomware αυτήν την εβδομάδα περιλαμβάνουν:
@billtoulas
,
@LawrenceAbrams
,
@serghei
,
@BleepinComputer
,
@Seifreed
,
@Ionut_Ilascu
,
@demonslay335
,
@fwosar
,
@malwrhunterteam
,
@NCSC
@TrendMicro,
@Intrinsec
,
@Fortinet
,
@pcrisk
και
@rivitna2
.
20 Ιανουαρίου 2024
Οι ερευνητές συνδέουν το ransomware 3AM με τις Conti, συμμορίες του βασιλικού εγκλήματος στον κυβερνοχώρο
Ερευνητές ασφαλείας που αναλύουν τη δραστηριότητα της πρόσφατα εμφανισθείσας επιχείρησης ransomware 3AM αποκάλυψαν στενές συνδέσεις με διαβόητες ομάδες, όπως το συνδικάτο Conti και η συμμορία Royal ransomware.
21 Ιανουαρίου 2024
Η επίθεση ransomware Tietoevry προκαλεί διακοπές σε σουηδικές εταιρείες και πόλεις
Ο Φινλανδός πάροχος υπηρεσιών πληροφορικής και εταιρικής φιλοξενίας cloud, Tietoevry, υπέστη επίθεση ransomware Akira που επηρεάζει πελάτες φιλοξενίας cloud σε ένα από τα κέντρα δεδομένων του στη Σουηδία.
22 Ιανουαρίου 2024
Η κυβερνοεπίθεση loanDepot προκαλεί παραβίαση δεδομένων για 16,6 εκατομμύρια ανθρώπους
Στεγαστικός δανειστής loanDepot λέει ότι περίπου 16,6 εκατομμύρια άνθρωποι κλάπηκαν τα προσωπικά τους στοιχεία σε μια επίθεση ransomware που αποκαλύφθηκε νωρίτερα αυτόν τον μήνα.
Τεχνική ανάλυση Cactus Ransomware
Στις 20 Ιανουαρίου η ομάδα ransomware Cactus επιτέθηκε σε έναν αριθμό θυμάτων σε διάφορους κλάδους. Οι επιθέσεις αποκαλύφθηκαν στον ιστότοπο διαρροής τους με τα συνοδευτικά στοιχεία των θυμάτων. Η ομάδα ransomware ασκεί τακτικά πίεση στα θύματα δημοσιεύοντας προσωπικές πληροφορίες σχετικά με τους υπαλλήλους της οργάνωσης-θύματος. Αυτό περιλαμβάνει άδειες οδήγησης, διαβατήρια, φωτογραφίες και άλλα προσωπικά στοιχεία ταυτότητας.
Νέα παραλλαγή ransomware Phobos
PCrisk
βρήκε μια νέα παραλλαγή ransomware Phobos που προσαρτά το
.gotmydatafast
επέκταση.
Νέο Frivinho Ransomware
Το PCrisk βρήκε ένα νέο ransomware που προσαρτά το
.Frivinho0
επέκταση και ρίχνει ένα σημείωμα λύτρων με το όνομα
PLS_READ_ME.txt
.
Νέα παραλλαγή Chaos Ransomware
Το PCrisk βρήκε ένα νέο ransomware που προσαρτά το
.Κάντε πίσω
επέκταση και ρίχνει ένα σημείωμα λύτρων με το όνομα
read_it.txt
.
23 Ιανουαρίου 2024
Ο γίγαντας των υπηρεσιών ύδρευσης Veolia στη Βόρεια Αμερική επλήγη από επίθεση ransomware
Η Veolia North America, θυγατρική του διακρατικού ομίλου Veolia, αποκάλυψε μια επίθεση ransomware που επηρέασε συστήματα τμήμα του τμήματος Δημοτικών Υδάτων και διέκοψε τα συστήματα πληρωμής λογαριασμών της.
Το Kasseika ransomware χρησιμοποιεί πρόγραμμα οδήγησης προστασίας από ιούς για να σκοτώσει άλλα προγράμματα προστασίας από ιούς
Μια λειτουργία ransomware που αποκαλύφθηκε πρόσφατα με το όνομα «Kasseika» εντάχθηκε στη λέσχη των παραγόντων απειλών που χρησιμοποιεί τις τακτικές Bring Your Own Vulnerable Driver (BYOVD) για να απενεργοποιήσει το λογισμικό προστασίας από ιούς πριν από την κρυπτογράφηση αρχείων.
Οι ΗΠΑ, το Ηνωμένο Βασίλειο και η Αυστραλία επιβάλλουν κυρώσεις στον χάκερ REvil πίσω από την παραβίαση δεδομένων της Medibank
Οι κυβερνήσεις της Αυστραλίας, των ΗΠΑ και του Ηνωμένου Βασιλείου έχουν ανακοινώσει κυρώσεις για τον Aleksandr Gennadievich Ermakov, έναν Ρώσο υπήκοο που θεωρείται υπεύθυνος για το hack της Medibank το 2022 και μέλος της ομάδας ransomware REvil.
Εκτίμηση απειλών: BianLian
Οι ερευνητές της Μονάδας 42 παρακολουθούσαν την ομάδα ransomware BianLian, η οποία ήταν στις πρώτες 10 από τις πιο ενεργές ομάδες με βάση τα δεδομένα ιστότοπου διαρροής που έχουμε συγκεντρώσει. Από αυτά τα δεδομένα του ιστότοπου διαρροής, έχουμε κυρίως παρατηρήσει δραστηριότητα που επηρεάζει τους τομείς και τις βιομηχανίες υγειονομικής περίθαλψης και της μεταποίησης και επηρεάζει οργανισμούς κυρίως στις Ηνωμένες Πολιτείες (ΗΠΑ) και την Ευρώπη (ΕΕ).
24 Ιανουαρίου 2024
Το Ηνωμένο Βασίλειο λέει ότι η τεχνητή νοημοσύνη θα ενδυναμώσει το ransomware τα επόμενα δύο χρόνια
Το Εθνικό Κέντρο Ασφάλειας Κυβερνοασφάλειας (NCSC) του Ηνωμένου Βασιλείου προειδοποιεί ότι τα εργαλεία τεχνητής νοημοσύνης (AI) θα έχουν αρνητικό βραχυπρόθεσμο αντίκτυπο στην ασφάλεια στον κυβερνοχώρο, συμβάλλοντας στην κλιμάκωση της απειλής του ransomware.
Παγκόσμια εταιρεία fintech EquiLend εκτός σύνδεσης μετά από πρόσφατη κυβερνοεπίθεση
Η παγκόσμια εταιρεία χρηματοοικονομικής τεχνολογίας EquiLend με έδρα τη Νέα Υόρκη λέει ότι οι δραστηριότητές της έχουν διακοπεί μετά την απενεργοποίηση ορισμένων συστημάτων σε μια κυβερνοεπίθεση τη Δευτέρα.
Επιτιθέμενος της Medibank: Επιχειρηματίας πληροφορικής, φερόμενος ως ψυχολόγος και φερόμενος ως κυβερνοεγκληματίας
Η ταυτότητα του Ερμάκοφ αποκαλύφθηκε από την Αυστραλιανή Διεύθυνση Σημάτων (ASD) και την Αυστραλιανή Ομοσπονδιακή Αστυνομία (AFP). Σύμφωνα με μια 23 Ιανουαρίου 2024,
αποκλειστική συνέντευξη
με το Channel 9 της Αυστραλίας, ο αναπληρωτής γενικός διευθυντής της ASD, Abi Bradshaw, είπε ότι η έρευνα βρήκε αδιέξοδα κατά καιρούς. Ωστόσο, η ASD βασίστηκε στη βοήθεια άλλων εταίρων πληροφοριών Five Eyes (η NSA, το FBI και το GCHQ στο Ηνωμένο Βασίλειο) καθώς και δεδομένα από τον ιδιωτικό κλάδο, συμπεριλαμβανομένης της Microsoft, η οποία έγραψε για τον ρόλο της
εδώ
. Ο Bradshaw λέει ότι τα δεδομένα της Microsoft ενίσχυσαν την εμπιστοσύνη της κυβέρνησης στην ταυτοποίηση του Ermakov στον πραγματικό κόσμο.
Νέα παραλλαγή ransomware Phobos
Το PCrisk βρήκε μια νέα παραλλαγή ransomware Phobos που προσαρτά το
.rdptest
επέκταση.
Νέο LockXX ransomware
rivitna
βρήκε το νέο LockXX ransomware που προσαρτά το
.lockxx
επέκταση και ρίχνει ένα σημείωμα λύτρων με το όνομα
lockxx.recovery_data.hta
.
25 Ιανουαρίου 2024
Ρώσος προγραμματιστής κακόβουλου λογισμικού TrickBot καταδικάστηκε σε 64 μήνες φυλάκιση
Ο Ρώσος υπήκοος Vladimir Dunaev καταδικάστηκε σε φυλάκιση πέντε ετών και τεσσάρων μηνών για τον ρόλο του στη δημιουργία και τη διανομή του κακόβουλου λογισμικού Trickbot που χρησιμοποιείται σε επιθέσεις εναντίον νοσοκομείων, εταιρειών και ατόμων σε όλο τον κόσμο.
Μια άλλη παραλλαγή του Phobos Ransomware ξεκινά επίθεση – το FAUST
Πρόσφατα, τα εργαστήρια FortiGuard αποκάλυψαν ένα έγγραφο του Office που περιέχει ένα σενάριο VBA με στόχο τη διάδοση του ransomware FAUST, μιας άλλης παραλλαγής του Phobos. Οι εισβολείς χρησιμοποίησαν την υπηρεσία Gitea για να αποθηκεύσουν πολλά αρχεία κωδικοποιημένα στο Base64, το καθένα από τα οποία έφερε ένα κακόβουλο δυαδικό αρχείο. Όταν αυτά τα αρχεία εγχέονται στη μνήμη ενός συστήματος, ξεκινούν μια επίθεση κρυπτογράφησης αρχείων. Το σχήμα 1 δείχνει την αλυσίδα επίθεσης.
26 Ιανουαρίου 2024
Ενημέρωση Ransomware – Albabat
Αυτή η έκδοση του Ransomware
Roundup
καλύπτει το ransomware Albabat.
Νέες παραλλαγές ransomware STOP
Το PCrisk βρήκε νέες παραλλαγές ransomware STOP που προσαρτούν το
.cdcc
και
.cdxx
επεκ
τάσεις
.
Αυτά για αυτήν την εβδομάδα! Ελπίζω όλοι να έχουν ένα όμορφο Σαββατοκύριακο!
VIA:
bleepingcomputer.com
