Η εβδομάδα στο Ransomware – 4 Αυγούστου 2023

Οι συμμορίες ransomware συνεχίζουν να δίνουν προτεραιότητα στη στόχευση διακομιστών VMware ESXi, με σχεδόν κάθε ενεργή συμμορία ransomware να δημιουργεί προσαρμοσμένους κρυπτογραφητές Linux για αυτόν τον σκοπό.

Αυτή την εβδομάδα, η BleepingComputer ανέλυσε τον κρυπτογράφηση Linux για το Abyss Locker και παρουσίασε πώς σχεδιάστηκε ειδικά για την κρυπτογράφηση εικονικών μηχανών ESXi.

Άλλες λειτουργίες ransomware με κρυπτογραφητές ESXi περιλαμβάνουν Akira, Royal, Black Basta, LockBit, BlackMatter, AvosLocker, REvil, HelloKitty, RansomEXX και Hive.

Αρκετή έρευνα κυκλοφόρησε επίσης αυτή την εβδομάδα, με εταιρείες κυβερνοασφάλειας και ερευνητές να δημοσιεύουν αναφορές σχετικά με:

Σχετικά με επιθέσεις ransomware ή εκβιασμού,

EY

και η Serco έστειλαν ειδοποιήσεις παραβίασης δεδομένων για τις επιθέσεις Clop MOVEit.

Νοσοκομεία που διευθύνονται από την Prospect Medical Holdings επηρεάστηκαν επίσης αυτή την εβδομάδα από μια επίθεση ransomware στη μητρική εταιρεία. Ωστόσο, δεν είναι σαφές ποια συμμορία βρίσκεται πίσω από την επίθεση.

Τέλος, το πρόγραμμα ολοκληρωμένης ιατρικής φροντίδας της Αργεντινής (PAMI)

υπέστη επίθεση ransomware

που επηρέασε τις λειτουργίες της.

Οι συνεισφέροντες και εκείνοι που παρείχαν νέες πληροφορίες και ιστορίες ransomware αυτήν την εβδομάδα περιλαμβάνουν:

@billtoulas

,

@Seifreed

,

@malwrhunterteam

,

@demonslay335

,

@serghei

,

@malwareforme

,

@LawrenceAbrams

,

@BleepinComputer

,

@Ionut_Ilascu

,

@Fortinet

,

@malvuln

,

@Intel_by_KELA

,

@DragosInc

,

@MrJamesSullivan

,

@pcrisk

και

@juanbrodersen

.

29 Ιουλίου 2023

Η έκδοση Linux του ransomware Abyss Locker στοχεύει διακομιστές VMware ESXi

Η λειτουργία Abyss Locker είναι η πιο πρόσφατη που ανέπτυξε έναν κρυπτογράφηση Linux για να στοχεύσει την πλατφόρμα εικονικών μηχανών ESXi της VMware σε επιθέσεις στην επιχείρηση.

Νέο εργαλείο RansomLord κατά του ransomware

Ερευνητής ασφάλειας

Malvuln

κυκλοφόρησε ένα εργαλείο που ονομάζεται RansomLord το οποίο εκμεταλλεύεται τα τρωτά σημεία εισβολής DLL σε κρυπτογραφητές ransomware για να τερματίσει τις διαδικασίες πριν ξεκινήσει η κρυπτογράφηση. Δεν είναι 100% εγγυημένο ότι θα λειτουργήσει, επομένως όλοι οι χρήστες θα πρέπει να διαβάσουν τα έργα readme.

31 Ιουλίου 2023

Dragos Industrial Ransomware Attack Analysis: Q2 2023

Το δεύτερο τρίμηνο του 2023 αποδείχθηκε μια εξαιρετικά ενεργή περίοδος για ομάδες ransomware, θέτοντας σημαντικές απειλές για βιομηχανικούς οργανισμούς και υποδομές. Η αύξηση των επιθέσεων ransomware σε βιομηχανικούς στόχους και οι επακόλουθες επιπτώσεις τους υπογραμμίζει την ταχεία ανάπτυξη των οικοσυστημάτων ransomware και την υιοθέτηση διαφορετικών τακτικών, τεχνικών και διαδικασιών (TTP) από αυτές τις ομάδες για την επίτευξη των στόχων τους. Στο δεύτερο τρίμηνο, ο Dragos παρατήρησε ότι από τις 66 ομάδες που παρακολουθούμε, οι 33 συνέχισαν να επηρεάζουν τους βιομηχανικούς οργανισμούς. Αυτές οι ομάδες συνέχισαν να χρησιμοποιούν προηγουμένως αποτελεσματικές τακτικές, συμπεριλαμβανομένης της εκμετάλλευσης τρωτών σημείων μηδενικής ημέρας, της μόχλευσης της κοινωνικής μηχανικής, της στόχευσης υπηρεσιών που αντιμετωπίζουν το κοινό και του συμβιβασμού των παρόχων υπηρεσιών πληροφορικής.

Cyber ​​Insurance and the Ransomware Challenge

Μια μελέτη που εξετάζει το ρόλο της ασφάλισης στον κυβερνοχώρο στην αντιμετώπιση των απειλών που θέτει το ransomware.

Νέα παραλλαγή Ντάρμα

PCrisk

βρήκε μια νέα παραλλαγή ransomware Dharma που προσαρτά το

.Z0V

επέκταση και ρίχνει ένα σημείωμα λύτρων με το όνομα

Z0V.txt

.

Νέα παραλλαγή ransomware STOP

Το PCrisk βρήκε νέες παραλλαγές ransomware STOP που προσαρτούν το

.πουου

ή

.ποαζ

επεκτάσεις.

1 Αυγούστου 2023

Akira Ransomware Gang Evades Decryptor, Exploiting Victims Uninrupted

Παρά τον αποκρυπτογραφητή για το ransomware Akira που κυκλοφόρησε στα τέλη Ιουνίου 2023, η ομάδα εξακολουθεί να φαίνεται να εκβιάζει με επιτυχία θύματα. Τον Ιούλιο, παρατηρήσαμε 15 νέα θύματα της ομάδας, είτε αποκαλύφθηκαν δημόσια είτε εντοπίστηκαν από το KELA κατά τη διάρκεια των διαπραγματεύσεών του.

Η συμμορία Cyclops Ransomware αποκαλύπτει τη λειτουργία Knight 2.0 RaaS: Φιλική προς τους συνεργάτες και επεκτεινόμενους στόχους

Η συμμορία ransomware Cyclops κυκλοφόρησε μια έκδοση 2.0 της λειτουργίας RaaS που ονομάζεται Knight. Στις 26 Ιουλίου, η συμμορία ανακοίνωσε στο ιστολόγιό της ότι «κυκλοφόρησε το νέο πάνελ και το νέο πρόγραμμα αυτή την εβδομάδα», πιθανώς αναφερόμενη σε ενημερώσεις τόσο στο στέλεχος ransomware όσο και στο πάνελ των θυγατρικών τους. Πρόσφατα, οι Cyclops ανακοίνωσαν ότι «αναβάθμισαν» την επιχείρηση και ζήτησαν νέες θυγατρικές να ενταχθούν στην ομάδα. Ένα νήμα που διαφημίζει το RaaS του Cyclops έχει μετονομαστεί σε “[RaaS]Ιππότης”.

Qilin Ransomware Gang υιοθετεί ασυνήθιστο σύστημα πληρωμών: Όλες οι πληρωμές λύτρων διοχετεύονται μέσω συνεργατών

Τον Ιούλιο, η KELA παρατήρησε ότι οι παράγοντες πίσω από το πρόγραμμα Qilin (Agenda) RaaS ανακοίνωσαν ότι οι πληρωμές λύτρων καταβάλλονται μόνο στα πορτοφόλια των θυγατρικών τους. Προφανώς, μόνο τότε ένα μερίδιο των κερδών μεταφέρεται στους ιδιοκτήτες Qilin RaaS. Αυτή η προσέγγιση είναι λιγότερο συνηθισμένη για τα προγράμματα RaaS: συνήθως τα θύματα πληρώνουν λύτρα σε πορτοφόλια που ελέγχονται από προγραμματιστές/διαχειριστές RaaS και μόνο τότε οι συνεργάτες λαμβάνουν το μερίδιό τους από λύτρα. Η «αντίθετη» προσέγγιση, που υιοθετείται τώρα από την Qilin, είναι γνωστό ότι χρησιμοποιείται από το LockBit.

Νέα παραλλαγή Xorist ransomware

Το PCrisk βρήκε νέα παραλλαγή Xorist ransomware που προσαρτά το

.rtg

.

Νέα παραλλαγή ransomware STOP

Το PCrisk βρήκε νέα παραλλαγή Xorist ransomware που προσαρτά το

.ποπν

και ρίχνει ένα σημείωμα λύτρων με το όνομα

_readme.txt

.

2 Αυγούστου 2023

Η PAMI επιβεβαίωσε μια κυβερνοεπίθεση ransomware: κατέρριψε τον ιστότοπο, αλλά διαβεβαιώνουν ότι “μετριάστηκε”

Το Πρόγραμμα Ολοκληρωμένης Ιατρικής Φροντίδας (PAMI) υπέστη κυβερνοεπίθεση ransomware, έναν τύπο ιού που κρυπτογραφεί αρχεία για να ζητήσει λύτρα ως αντάλλαγμα. Επίσημες πηγές επιβεβαίωσαν στο Clarín ότι αυτό το είδος κυβερνοεπίθεσης εμπλέκεται και ότι ερευνούν από πού προήλθε η εισβολή. Οι βάρδιες διατηρούνται και τα φάρμακα μπορούν να αγοραστούν κανονικά από τα φαρμακεία, διαβεβαίωσαν.

3 Αυγούστου 2023

Ο εργολάβος της αμερικανικής κυβέρνησης Serco αποκαλύπτει παραβίαση δεδομένων μετά από επιθέσεις στο MoveIT

Η Serco Inc, το τμήμα Αμερικής της πολυεθνικής εταιρείας εξωτερικής ανάθεσης Serco Group, αποκάλυψε μια παραβίαση δεδομένων αφού οι εισβολείς έκλεψαν τα προσωπικά στοιχεία περισσότερων από 10.000 ατόμων από διακομιστή διαχειριζόμενης μεταφοράς αρχείων MoveIT (MFT) τρίτου προμηθευτή.

Ransomware Roundup – DoDo και Proton

Αυτή η έκδοση του Ransomware Roundup καλύπτει τα ransomware DoDo και Proton.

Η EY στέλνει ειδοποίηση παραβίασης δεδομένων MOVEit

Με βάση την έρευνά μας, πιστεύουμε ότι ένα μη εξουσιοδοτημένο μέρος μπόρεσε να αποκτήσει ορισμένα αρχεία που μεταφέρθηκαν μέσω του εργαλείου MOVEit, συμπεριλαμβανομένων αρχείων που περιείχαν προσωπικά δεδομένα 3 κατοίκων του Μέιν. Στη συνέχεια, η EY Law ανέλαβε επίσης μια εκτενή ανάλυση των επηρεαζόμενων αρχείων για να προσδιορίσει ποια άτομα και δεδομένα ενδέχεται να έχουν επηρεαστεί και να επιβεβαιώσει την ταυτότητά τους και τα στοιχεία επικοινωνίας τους.

Νέα παραλλαγή ransomware Phobos

Το PCrisk βρήκε νέα παραλλαγή ransomware Phobos που προσαρτά το

.G-STARS

επέκταση.

Νέο TrashPanda ransomware

Το PCrisk βρήκε το νέο ransomware TrashPanda που προσαρτά το

.μονόχρωμος αρκούδος

επέκταση και ρίχνει ένα σημείωμα λύτρων με το όνομα

[random_string]-readme.html

.

Νέο CryBaby ransomware

Το PCrisk εντόπισε το νέο ransomware Crybaby python που προσαρτά το

.κλειδωμένοbycrybaby

επέκταση.

Αυτά για αυτήν την εβδομάδα! Ελπίζω όλοι να έχουν ένα όμορφο Σαββατοκύριακο!