Η εβδομάδα στο Ransomware – 9 Ιουνίου 2023

Η εβδομάδα κυριάρχησε από τις συνέπειες των επιθέσεων κλοπής δεδομένων MOVEit Transfer, με τη συμμορία

ransomware

Clop να επιβεβαιώνει ότι ήταν πίσω από αυτές.

Τη Δευτέρα, η

Microsoft

ήταν η πρώτη που απέδωσε τις επιθέσεις στη λειτουργία ransomware Clop και ακολούθησαν οι απειλές που είπαν στο BleepingComputer ότι άρχισαν να εκμεταλλεύονται διακομιστές στις 27 Μαΐου.

Μετά την ανάλυση της ιστορικής τηλεμετρίας, οι ειδικοί ασφαλείας της Kroll διαπίστωσαν επίσης ότι η συμμορία Clop πιθανότατα δοκίμασε το MOVEit Transfer zero-day από το 2021 σε περιορισμένες επιθέσεις.

Όπως ήταν αναμενόμενο, μόλις αρχίζουμε να βλέπουμε τις συνέπειες των επιθέσεων, με τα θύματα να έρχονται με ανακοινώσεις και ειδοποιήσεις παραβίασης δεδομένων.

Οι εταιρείες που έχουν αποκαλύψει παραβιάσεις του MOVEit Transfer μέχρι στιγμής αναφέρονται παρακάτω:

Σε άλλες ειδήσεις, η συμμορία Royal Ransomware έχει αρχίσει να δοκιμάζει έναν νέο κρυπτογράφηση BlackSuit σε περιορισμένες επιθέσεις. Καθώς πρόκειται για μια αυτόνομη λειτουργία ransomware με δικό της κρυπτογράφηση, ιστότοπο διαπραγμάτευσης Tor και ιστότοπο διαρροής δεδομένων, δεν είναι σαφές πώς σχεδιάζουν να χρησιμοποιήσουν το BlackSuit στο μέλλον.

Άλλη έρευνα που κυκλοφόρησε αυτή την εβδομάδα αφορά τις νέες παραλλαγές ransomware που ονομάζονται

Κύκλωπας

και

Xollam

.

Υπήρξε μια ενδιαφέρουσα εξέλιξη σχετικά με την επίθεση ransomware του Rhysida στον στρατό της Χιλής, με

Συνελήφθη δεκανέας του στρατού για φερόμενη συμμετοχή.

Είδαμε επίσης μια επίθεση στην ιαπωνική φαρμακευτική εταιρεία Eisai και στη μεγαλύτερη εμπορική δικηγορική εταιρεία της Αυστραλίας, HWL Ebsworth, που αρνήθηκαν να υποχωρήσουν στις απαιτήσεις εκβιασμού της ALPHV.

Τέλος, θα παραλείπαμε να μην μοιραστούμε το

εξαιρετικός χάρτης λειτουργιών ransomware

δημιουργήθηκε από τον ερευνητή πληροφοριών για τις απειλές της CERT Orange Cyberdefense

Marine Pichon

.

Οι συνεισφέροντες και εκείνοι που παρείχαν νέες πληροφορίες και ιστορίες ransomware αυτήν την εβδομάδα περιλαμβάνουν:

@serghei

,

@LawrenceAbrams

,

@malwrhunterteam

,

@BleepinComputer

,

@demonslay335

,

@DanielGallagher

,

@fwosar

,

@billtoulas

,

@KrollWire

,

@Mar_Pich

,

@RedSenseIntel

,

@CISAgov

,

@FBI

,

@MsftSecIntel

,

@pcrisk

,

@TrendMicro

,

@PogoWasRight

,

@catabatarce

,

@GossiTheDog

,

@BrettCallow

και

@uptycs

.

4 Ιουνίου 2023

Η CISA δίνει εντολή στις κυβερνητικές υπηρεσίες να επιδιορθώσουν το σφάλμα MOVEit που χρησιμοποιείται για κλοπή δεδομένων

Η CISA πρόσθεσε ένα ενεργά εκμεταλλευόμενο σφάλμα ασφαλείας στη λύση διαχειριζόμενης μεταφοράς αρχείων Progress MOVEit Transfer (MFT) στη λίστα με τις γνωστές εκμεταλλευόμενες ευπάθειες, ζητώντας από τις ομοσπονδιακές υπηρεσίες των ΗΠΑ να διορθώσουν τα συστήματά τους έως τις 23 Ιουνίου.

Η ομάδα ransomware Rhysida ισχυρίζεται την επίθεση στη Μαρτινίκα

Το DataBreaches δεν εξέτασε όλα τα αρχεία που διέρρευσαν από την ομάδα ransomware Rhysida, αλλά όπως υποδηλώνει το screencap μόνο ενός μικρού τμήματος της λίστας αρχείων, φαίνεται να είναι αρχεία που σχετίζονται με την κυβέρνηση. Σε αντίθεση με άλλες ομάδες που συχνά παρέχουν μια σύντομη περίληψη των ειδών αρχείων που διαρρέουν, η Rhysida δεν παρέχει πληροφορίες σχετικά με το μέγεθος της διαρροής δεδομένων ή το περιεχόμενό της.

5 Ιουνίου 2023

Η Microsoft συνδέει τη συμμορία ransomware Clop με επιθέσεις κλοπής δεδομένων MOVEit

Η Microsoft έχει συνδέσει τη συμμορία ransomware Clop με πρόσφατες επιθέσεις που εκμεταλλεύονται μια ευπάθεια zero-day στην πλατφόρμα MOVEit Transfer για την κλοπή δεδομένων από οργανισμούς.

Το Clop ransomware αναλαμβάνει την ευθύνη για επιθέσεις εκβιασμού του MOVEit

Η συμμορία ransomware Clop είπε στην BleepingComputer ότι βρίσκεται πίσω από τις επιθέσεις κλοπής δεδομένων MOVEit Transfer, όπου μια ευπάθεια zero-day εκμεταλλεύτηκε για να παραβιάσει διακομιστές που ανήκουν σε «εκατοντάδες εταιρείες» και να κλέψει δεδομένα.

Ένας πολεμικός χάκερ: PDI συλλαμβάνει έναν δεκανέα του στρατού για κυβερνοεπίθεση στα εσωτερικά δίκτυα του στρατιωτικού ιδρύματος

Σημείωση των συντακτών: Αυτό σχετίζεται με την επίθεση ransomware Rhysida στον στρατό της Χιλής.

Σύμφωνα με πηγές της υπόθεσης, από τον στρατιώτη κατασχέθηκαν μια σειρά ηλεκτρονικών συσκευών, οι οποίες τώρα εξετάζονται από ντετέκτιβ. Σε βάρος του ασκήθηκε ποινική δίωξη για το αδίκημα της παράβασης του νόμου περί εγκλημάτων πληροφορικής και στη συνέχεια τέθηκε υπό προληπτική κράτηση.

Cyclops Ransomware και Stealer Combo: Exploring a Dual Threat

Η ομάδα Cyclops είναι ιδιαίτερα περήφανη που δημιούργησε ransomware ικανό να μολύνει και τις τρεις μεγάλες πλατφόρμες:

Windows

, Linux και

macOS

. Σε μια άνευ προηγουμένου κίνηση, μοιράστηκε επίσης ένα ξεχωριστό δυαδικό αρχείο ειδικά σχεδιασμένο για την κλοπή ευαίσθητων δεδομένων, όπως ένα μολυσμένο όνομα υπολογιστή και μια σειρά από διεργασίες. Το τελευταίο στοχεύει συγκεκριμένα αρχεία τόσο σε Windows όσο και σε Linux.

Νέες παραλλαγές ransomware Dharma

PCrisk

βρήκε νέες παραλλαγές ransomware Dharma που προσαρτούν το

.NBR

και

.ευχαριστώ

επεκτάσεις.

Νέες παραλλαγές ransomware STOP

Το PCrisk βρήκε νέες παραλλαγές ransomware STOP που προσαρτούν το

.nerz

,

.νέο

και

.neqp

επεκτάσεις.

6 Ιουνίου 2023

Xollam, το πιο πρόσφατο πρόσωπο της TargetCompany

Αφού εντοπίστηκε για πρώτη φορά τον Ιούνιο του 2021, η οικογένεια ransomware TargetCompany υπέστη αρκετές αλλαγές ονόματος που σήμαιναν σημαντικές ενημερώσεις στην οικογένεια ransomware, όπως τροποποιήσεις στον αλγόριθμο κρυπτογράφησης και διαφορετικά χαρακτηριστικά αποκρυπτογράφησης.

7 Ιουνίου 2023

CL0P Ransomware Gang Exploits CVE-2023-34362 Ευπάθεια MOVEit

Σύμφωνα με πληροφορίες ανοιχτού κώδικα, αρχής γενομένης από τις 27 Μαΐου 2023, η CL0P Ransomware Gang, γνωστή και ως TA505, άρχισε να εκμεταλλεύεται μια προηγουμένως άγνωστη ευπάθεια SQL injection (

CVE-2023-34362

) στη λύση διαχειριζόμενης μεταφοράς αρχείων (MFT) του Progress

Software

, γνωστή ως MOVEit Transfer.

8 Ιουνίου 2023

Η βασιλική συμμορία ransomware προσθέτει κρυπτογράφηση BlackSuit στο οπλοστάσιό της

Η συμμορία του Royal ransomware έχει αρχίσει να δοκιμάζει έναν νέο κρυπτογραφητή που ονομάζεται BlackSuit που μοιράζεται πολλές ομοιότητες με τον συνηθισμένο κρυπτογράφηση της επιχείρησης.

Το Clop ransomware πιθανότατα δοκιμάζει το MOVEit zero-day από το 2021

Η συμμορία ransomware Clop αναζητά τρόπους για να εκμεταλλευτεί ένα επιδιορθωμένο πλέον zero-day στη λύση MOVEit Transfer διαχειριζόμενης μεταφοράς αρχείων (MFT) από το 2021, σύμφωνα με τους ειδικούς ασφαλείας της Kroll.

Ένας εκπληκτικός χάρτης του οικοσυστήματος ransomware και της εξέλιξής του

Marine Pichon

συνθέστε έναν καταπληκτικό, και πιθανότατα επίπονο, χάρτη που απεικονίζει τις λειτουργίες ransomware και τις ομάδες με τις οποίες συνδέονται. Αξίζει να ρίξετε μια ματιά.

Ο ιαπωνικός φαρμακευτικός γίγαντας Eisai αποκαλύπτει επίθεση ransomware

Η φαρμακευτική εταιρεία Eisai αποκάλυψε ότι υπέστη ένα περιστατικό ransomware που επηρέασε τις λειτουργίες της, παραδέχοντας ότι οι επιτιθέμενοι κρυπτογραφούσαν ορισμένους από τους διακομιστές της.

Νέα παραλλαγή Ντάρμα

Το PCrisk βρήκε μια νέα παραλλαγή ransomware Dharma που προσαρτά το

.


μονοφωνικό

επέκταση.

9 Ιουνίου 2023

Το BlackCat ransomware αποτυγχάνει να εκβιάσει τον αυστραλιανό γίγαντα εμπορικού δικαίου

Η αυστραλιανή δικηγορική εταιρεία HWL Ebsworth επιβεβαίωσε σε τοπικά μέσα ενημέρωσης ότι το δίκτυό της παραβιάστηκε όταν η συμμορία ransomware ALPHV άρχισε να διαρρέει δεδομένα που ισχυρίζονται ότι είχαν κλαπεί από την εταιρεία.

Το Πανεπιστήμιο του Μάντσεστερ λέει ότι χάκερ «πιθανόν» έκλεψαν δεδομένα σε κυβερνοεπίθεση

Το Πανεπιστήμιο του Μάντσεστερ προειδοποιεί το προσωπικό και τους φοιτητές ότι υπέστησαν μια κυβερνοεπίθεση όπου παράγοντες απειλών πιθανότατα έκλεψαν δεδομένα από το δίκτυο του Πανεπιστημίου.

Αυτά για αυτήν την εβδομάδα! Ελπίζω όλοι να έχουν ένα όμορφο Σαββατοκύριακο!