#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в растущей угрозе вторжений программ-вымогателей Fog и Akira, нацеленных на организации через уязвимости в учетных записях SonicWall SSL VPN, в частности CVE-2024-40766. Эти вторжения связаны с быстрым шифрованием данных, утечкой конфиденциальной информации, а также отсутствием современного программного обеспечения и мер безопасности, таких как многофакторная аутентификация. В тексте подчеркивается важность устранения уязвимостей, мониторинга входов в систему через VPN и создания безопасных резервных копий для защиты от атак программ-вымогателей.
-----

С начала августа Arctic Wolf отмечает значительное увеличение числа атак программ-вымогателей Fog и Akira, по меньшей мере, 30 случаев в различных отраслях промышленности.

В ходе этих вторжений были обнаружены вредоносные VPN-логины, нацеленные на учетные записи SonicWall SSL VPN, которые исходили с IP-адресов, связанных с VPS-хостингом.

Ни одно из уязвимых устройств SonicWall не было исправлено для уязвимости CVE-2024-40766, которая потенциально может активно использоваться.

Деятельность программ-вымогателей носит оппортунистический характер и нацелена на различные отрасли и размеры организаций, а не на конкретные секторы.

Скомпрометированные учетные записи SSL VPN часто были локальными для устройств SonicWall и не интегрированы с централизованными решениями аутентификации, такими как Microsoft Active Directory, при этом MFA часто не включался, что подчеркивало пробелы в безопасности.

Злоумышленники сосредотачиваются на быстром шифровании данных, нацеливании на хранилища виртуальных машин и резервные копии, а также на удалении данных, включая общие файлы возрастом до шести месяцев и более конфиденциальную информацию возрастом до 30 месяцев.

Arctic Wolf подчеркивает важность приоритетного устранения уязвимостей, таких как CVE-2024-40766, и создания безопасных резервных копий за пределами сайта для защиты от атак программ-вымогателей.

Arctic Wolf рекомендует отслеживать входы в систему VPN от неожиданных хостинг-провайдеров, обеспечивать обновление встроенного по на устройствах периметра и блокировать или тщательно отслеживать попытки входа в систему от ASN, связанных с хостингом.

Специальные строки скрипта PowerShell, такие как Veeam-Get-Creds.ps1, могут помочь в обнаружении угроз и реагировании на них.

Акшай Сутар, ведущий исследователь в области анализа угроз в Arctic Wolf Labs, уже более семи лет обладает значительным опытом в изучении тактики противника, анализе вредоносных программ и сборе информации об угрозах.

#ParsedReport #CompletenessMedium
25-10-2024

ValleyRAT Insights: Tactics, Techniques, and Detection Methods

https://www.splunk.com/en_us/blog/security/valleyrat-insights-tactics-techniques-and-detection-methods.html

Report completeness: Medium

Threats:
Valleyrat
Process_injection_technique
Uac_bypass_technique
Sandbox_evasion_technique
Fodhelper_technique

Victims:
Chinese-speaking users

Geo:
Chinese

TTPs:
Tactics: 2
Technics: 11

IOCs:
File: 9
Registry: 14
Path: 1
Url: 1
Command: 2
Hash: 2
IP: 2

Soft:
WeChat, DingTalk, Windows Defender, Windows Registry, Slack

Algorithms:
xor

Functions:
EnumSystemLocales

Win API:
SeDebugPrivilege

Languages:
powershell

Links:
https://github.com/redcanaryco/atomic-red-team/blob/a56a368463026f97c92a4435ddd57d6fbdef08ad/atomics/T1548.002/T1548.002.yaml#L1C1-L42C21
https://github.com/redcanaryco/atomic-red-team/blob/a56a368463026f97c92a4435ddd57d6fbdef08ad/atomics/T1548.002/T1548.002.yaml#L43C1-L104C21
https://github.com/redcanaryco/atomic-red-team/blob/a56a368463026f97c92a4435ddd57d6fbdef08ad/atomics/T1053.005/T1053.005.yaml
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что ValleyRAT - это сложный троян для удаленного доступа, предназначенный в первую очередь для китайскоязычных пользователей с помощью фишинговых кампаний. Он использует многоэтапные методы обхода, чтобы оставаться незамеченным, контролировать зараженные системы и устанавливать дополнительные вредоносные плагины для дальнейшего повреждения. Исследовательская группа Splunk Threat проанализировала варианты ValleyRAT, чтобы выделить TTP-адреса MITRE ATT и CK, разработать методы обнаружения и помочь защититься от подобных угроз. Вредоносная программа использует различные тактики, включая манипулирование записями реестра, обход контроля учетных записей, уклонение от обнаружения и поддержание постоянства с помощью запланированных задач и внедрения процессов. Основное внимание уделяется совершенствованию стратегий защиты от развивающихся киберугроз, таких как ValleyRAT.
-----

ValleyRAT - это троян удаленного доступа (RAT), нацеленный на китайскоязычных пользователей с помощью фишинговых кампаний.

Он работает как многоступенчатая, многокомпонентная вредоносная программа, позволяющая избежать обнаружения и оставаться стойкой в зараженных системах.

Вредоносная программа использует дополнительные вредоносные плагины для дальнейшего нанесения ущерба.

ValleyRAT loader расшифровывает ресурс, зашифрованный с помощью TripleDES, и вводит полезную нагрузку в легитимный системный процесс, чтобы избежать обнаружения.

Вредоносная программа использует строки UUID, формат шестнадцатеричных байтов, логические операции XOR и обфускацию в режиме ожидания для выполнения зашифрованного шелл-кода.

ValleyRAT манипулирует записями реестра, использует IP-адреса C2 и хранит пути к файлам активных вредоносных программ на скомпрометированных хостах.

Чтобы избежать обнаружения, ValleyRAT завершает работу средств защиты, отключает автозапуск антивируса, использует функцию исключения защитника Windows и проверяет наличие виртуализированных сред.

Вредоносная программа создает запланированные задачи для автоматического выполнения вредоносной полезной нагрузки для сохранения.

Методы обнаружения, разработанные исследовательской группой Splunk Threat Research, сосредоточены на изменении конфигурации C2, отключении автозапуска антивируса, модификации задач планировщика Windows и обходе контроля учетных записей пользователей.

#ParsedReport #CompletenessLow
26-10-2024

Nikhil "Kaido" Hegde. Turla Backdoor Bypasses ETW, EventLog and AMSI But It s Buggy

https://nikhilh-20.github.io/blog/turla_backdoor_defenses_bypass

Report completeness: Low

Actors/Campaigns:
Turla (motivation: cyber_espionage)

Threats:
Kazuar
De4dot_tool

Geo:
Russia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1562

IOCs:
Hash: 1
Path: 3
File: 6

Soft:
Event Tracing for Windows

Algorithms:
sha256, xor

Win API:
EventWrite, EtwEventWrite, ReportEventW, AmsiOpenSession, AmsiScanBuffer, LoadLibrary, AmsiInitialize, GetProcAddress, AmsiScanString

Win Services:
EventLog

Languages:
powershell

Links:
https://github.com/huds0nx/dumbassembly
have more...
https://github.com/wickyhu/simple-assembly-explorer
https://github.com/kant2002/de4dot

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что хакерская группа по кибершпионажу Turla, связанная с ФСБ России, использует 32-разрядный вариант бэкдора без файлов, который использует различные тактики уклонения, чтобы избежать обнаружения, включая манипулирование функциями ETW, EventLog и AMSI. В блоге подробно обсуждается, как работает бэкдор, его возможности обхода и конкретные исправления ошибок, реализованные в этом варианте, подчеркивая важность поддержания бдительности и разработки защитных стратегий в области кибербезопасности.
-----

Как сообщает Hybrid Analysis, хакерская группа Turla, занимающаяся кибершпионажем и связанная с Федеральной службой безопасности России (ФСБ), была идентифицирована как использующая 32-разрядный вариант бэкдора без файлов. В этом блоге рассматриваются возможности защитного обхода этого варианта бэкдора, освещаются его методы обхода ETW (отслеживание событий для Windows), EventLog и AMSI (интерфейс проверки на вредоносное ПО). Кроме того, в нем рассматриваются два исправленных дефекта, реализованных в этом варианте.

Сам бэкдор представляет собой исполняемый файл .NET, который содержит SmartAssembly. Для деобфускации кода аналитикам необходимо последовательно использовать такие инструменты, как dumbassembly, Simple Assembly Explorer и de4dot. Особое внимание в анализе уделяется тому, как бэкдор манипулирует сканированием AMSI, журналом событий и протоколированием ETW, чтобы избежать обнаружения и сохранить скрытность.

Ведение журнала ETW демонстрируется созданием пользователя ETW с именем test_collector, который собирает журналы от поставщика Microsoft-Windows-PowerShell. В блоге содержатся ссылки на журналы действий PowerShell и отключение поставщика PSEtwLogProvider для предотвращения ведения журнала действий PowerShell. В нем также представлен фрагмент кода, используемый бэкдором для отключения провайдера PSEtwLogProvider, что соответствует тактике обхода, используемой вредоносной программой.

Когда бэкдор Turla выполняет сценарии PowerShell, он создает пространство выполнения PowerShell внутри самого процесса вредоносного ПО, включая функции ETW, EventLog и AMSI в своем пространстве процессов. Это позволяет бэкдору манипулировать определенными функциями, связанными с этими механизмами безопасности, чтобы избежать обнаружения. Исправляя инструкции в таких функциях, как EventWrite, EtwEventWrite, ReportEventW, AmsiOpenSession и AmsiScanBuffer, бэкдор нарушает процессы ведения журнала и сканирования, что позволяет ему эффективно работать, не создавая заметных журналов.

Для 64-разрядных процессов бэкдор изменяет точки входа функций EventWrite, EtwEventWrite и ReportEventW с помощью определенных последовательностей байтов, чтобы остановить ведение журнала. В случае 32-разрядных процессов аналогичное исправление выполняется с использованием различных последовательностей байтов для достижения того же эффекта. Изменяя эти функции, бэкдор может предотвращать запись событий в EventLog и подавлять действия по ведению журнала, еще больше маскируя свое присутствие и операции.

Что касается функций AMSI, то бэкдор вмешивается в функции AmsiOpenSession и AmsiScanBuffer, устанавливая в их точках входа различные последовательности байтов для 32-разрядных и 64-разрядных процессов. Эта манипуляция приводит к изменению поведения AMSI-сканирования, что приводит к генерации кодов ошибок, которые потенциально могут обойти проверки безопасности и механизмы обнаружения.

Хотя большинство исправлений, реализованных с помощью бэкдора Turla, позволяют избежать обнаружения, в блоге освещаются два дефектных исправления, непосредственно связанных с 32-разрядными процессами. Это служит предостерегающим напоминанием о том, что даже участники киберугроз могут вносить ошибки в свой код, подчеркивая постоянную необходимость в бдительности и разработке защитных стратегий в сфере кибербезопасности.

#ParsedReport #CompletenessMedium
26-10-2024

Cyber attack UAC-0001 (APT28): PowerShell command in clipboard as "entry point" (CERT-UA#11689)

https://cert.gov.ua/article/6281123

Report completeness: Medium

Actors/Campaigns:
Fancy_bear

Threats:
Metasploit_tool

Victims:
Government organization

Industry:
Government

Geo:
Ukraine

CVEs:
CVE-2023-43770 [Vulners]
CVSS V3.1: 6.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- roundcube webmail (<1.4.14, <1.5.4, <1.6.3)


ChatGPT TTPs:
do not use without manual check
T1566.002, T1059.001, T1105, T1203

IOCs:
File: 5
Domain: 3
IP: 28
Hash: 16
Url: 9
Path: 2
Email: 1
Command: 8

Soft:
Chrome, Opera, Firefox, Roundcube, gmail

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Правительственная группа реагирования на компьютерные чрезвычайные ситуации в Украине (CERT-UA) расследует вредоносную кампанию, направленную против местных органов власти и связанную с рассылкой электронных писем с вредоносными ссылками, маскирующимися под электронные таблицы Google. Целью кампании является создание SSH-туннеля для кражи и эксфильтрации аутентификационных и критически важных данных из веб-браузеров с использованием команд PowerShell и развертывания программного обеспечения METASPLOIT. Злоумышленники успешно воспользовались уязвимостями, украли аутентификационные данные, скомпрометировали учетные записи электронной почты и запустили дальнейшие вредоносные действия, предварительно связав их с деятельностью группы UAC-0001 (APT28).
-----

Правительственная группа реагирования на компьютерные чрезвычайные ситуации в Украине, или CERT-UA, в настоящее время проводит расследование вредоносной кампании, направленной против местных органов власти. Эта кампания включает в себя рассылку электронных писем со строкой темы "Замена таблицы", которая содержит ссылку, замаскированную под электронную таблицу Google. При переходе по ссылке пользователям открывается окно защиты от поддельных ботов reCAPTCHA. Если пользователь реагирует на поддельное приглашение, нажав на поле с надписью "Я не робот", команда PowerShell копируется в буфер обмена компьютера. Затем пользователю предлагается нажать комбинацию клавиш "Win+R", чтобы открыть командную строку, затем "Ctrl+V", чтобы вставить команду, а затем нажать "Enter". Это действие запускает выполнение команды PowerShell.

После выполнения команды PowerShell запускается загрузка и выполнение двух файлов: "browser.hta" и "Browser.ps1". Основной целью этих файлов является создание SSH-туннеля, позволяющего красть и отфильтровывать аутентификационные и другие важные данные из веб-браузеров, таких как Chrome, Edge, Opera и Firefox. Кроме того, скрипт PowerShell также использует программное средство METASPLOIT, известное своими возможностями для осуществления дальнейших вредоносных действий.

В ходе аналогичного инцидента, расследованного CERT-UA в сентябре 2024 года (CERT-UA#10859), было обнаружено, что вредоносные электронные письма содержат эксплойт, нацеленный на уязвимость в Roundcube, идентифицированную как CVE-2023-43770. Этот эксплойт позволил злоумышленникам украсть аутентификационные данные пользователей и внедрить фильтр "SystemHealthChek" - плагин, перенаправляющий содержимое почтового ящика жертвы на адрес электронной почты злоумышленника. В ходе этого расследования было выявлено более 10 скомпрометированных учетных записей электронной почты, принадлежащих правительственным организациям. Злоумышленники использовали эти учетные записи для автоматического получения конфиденциальных данных и запуска дополнительных вредоносных кампаний по электронной почте, в том числе нацеленных на министерства обороны зарубежных стран.

Основываясь на собранных доказательствах, CERT-UA с умеренной степенью уверенности предварительно отнесла эти действия к группе UAC-0001, также известной как APT28. Эта связь дополнительно проиллюстрирована на рисунке 2, где показана цепочка повреждений, возникших в результате эксплойта CVE-2023-43770 (CERT-UA#10859) и последующей кибератаки со стороны UAC-0001 (APT28) с использованием команд PowerShell в качестве точки входа (CERT-UA#11689).

#ParsedReport #CompletenessMedium
26-10-2024

CERT-AGID Computer Emergency Response TeamAGID. XWorm Spread in Italy via Fake Namirial Invoice

https://cert-agid.gov.it/news/xworm-diffuso-in-italia-tramite-falsa-fattura-namirial

Report completeness: Medium

Threats:
Xworm_rat
Remcos_rat
Asyncrat
Dcrat
Cloudeye
Venomrat

Geo:
Italy, Italia, Italian

ChatGPT TTPs:
do not use without manual check
T1566.001, T1036.005, T1059.006

IOCs:
Hash: 16
File: 5
Domain: 2
Url: 3

Soft:
Dropbox, trycloudflare

Algorithms:
zip

Languages:
python

Links:
https://github.com/Einstein2150/BatchShield-Decryptor

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается вредоносная кампания с использованием троянской программы XWorm RAT, нацеленной на итальянских пользователей с помощью поддельных электронных писем, имитирующих официальные сообщения. Злоумышленники используют тактику социальной инженерии, чтобы обманом заставить получателей загружать вредоносные файлы, в конечном итоге стремясь скомпрометировать системы в неблаговидных целях. Кампания использует специальные показатели, такие как хэши файлов и URL-адреса, для распространения таких разновидностей вредоносных программ, как AsyncRAT, DCRat и Remcos RAT, расширяя их возможности по уклонению от обнаружения и сохранению стойкости. Наличие интерпретатора Python в полезной нагрузке указывает на ловкость злоумышленников в использовании языков сценариев для автоматизации вредоносных действий, что представляет значительную угрозу для отдельных лиц и организаций.
-----

В тексте описывается вредоносная кампания с использованием троянской программы XWorm RAT, которая распространяется с помощью поддельных электронных писем, выдаваемых за официальные сообщения от оператора Namirial. Электронное письмо составлено на итальянском языке и предлагает получателю открыть вложенный PDF-документ. Если PDF-файл не открывается, в электронном письме предлагается использовать альтернативную ссылку в сообщении. Эта тактика знакома по предыдущим кампаниям. Как только пользователь нажимает на ссылку, загружается ZIP-архив, содержащий интерпретатор Python, который затем используется для запуска вредоносных скриптов, уже присутствующих в архиве.

Кампания XWorm RAT нацелена на итальянских пользователей и использует специальные показатели, такие как хэши файлов и URL-адреса, для распространения вредоносного ПО. Некоторые из вариантов вредоносного ПО, которые могут быть развернуты в рамках этой кампании, включают AsyncRAT, DCRat, GuLoader, VenomRAT, Remcos RAT и XWorm, как показано в текущем примере. Злоумышленники используют различные методы для обмана пользователей и доставки полезной информации, конечной целью которых является компрометация систем в злонамеренных целях.

Технология "заманивания" по электронной почте, имитирующая законное общение, является распространенной стратегией, используемой злоумышленниками для того, чтобы обманом заставить пользователей загружать и запускать вредоносные файлы. Используя тактику социальной инженерии и используя доверие, связанное с официальными сообщениями, злоумышленники могут повысить вероятность успешного заражения. В рамках этой конкретной кампании поддельные электронные письма на итальянском языке должны выглядеть так, как будто они получены из авторитетного источника, создавая ощущение срочности или важности, чтобы побудить получателей ознакомиться с вредоносным контентом.

Троянская программа XWorm RAT, запущенная в системе жертвы, может позволить злоумышленникам получить несанкционированный доступ, извлечь конфиденциальную информацию и, возможно, осуществлять дальнейшие вредоносные действия. Разновидности вредоносных программ, связанных с этой кампанией, известны своей способностью избегать обнаружения и сохранять постоянство на зараженных компьютерах, представляя значительную угрозу как для отдельных пользователей, так и для организаций.

Использование определенных хэшей файлов и URL-адресов в кампании указывает на уровень изощренности тактики злоумышленников, позволяя им отслеживать распространение и успех вредоносного ПО. Анализируя эти показатели, исследователи и организации, занимающиеся кибербезопасностью, могут лучше понять масштабы и влияние кампании, а также разработать контрмеры для защиты от подобных угроз.

Наличие в архиве интерпретатора Python позволяет предположить, что злоумышленники, возможно, используют языки сценариев для автоматизации и улучшения выполнения вредоносных программ. Это подчеркивает адаптивность и гибкость киберпреступников в использовании различных инструментов и методов для достижения своих целей при целенаправленных атаках.

#ParsedReport #CompletenessLow
27-10-2024

Scattered Spider x RansomHub: A New Partnership

https://www.reliaquest.com/blog/scattered-spider-x-ransomhub-a-new-partnership

Report completeness: Low

Actors/Campaigns:
0ktapus (motivation: cyber_criminal, financially_motivated)
Carbanak

Threats:
Ransomhub
Blackcat
Sim_swapping_technique
Credential_dumping_technique
Logmein_tool
Blackbasta
Lockbit
Darkside
Ransomexx

Industry:
Entertainment, Financial, Telco

Geo:
North korea, China, French, American, Spanish, German, Russia

ChatGPT TTPs:
do not use without manual check
T1566, T1078, T1098, T1083, T1021

IOCs:
File: 14
IP: 1

Soft:
ESXi, Telegram, Chrome, Firefox, AnyConnect, Microsoft Office 365, Active Directory, VeraCrypt, Microsoft Teams

Functions:
English, English-language

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что хакерская группа под названием "Scattered Spider" сотрудничала с группой программ-вымогателей "RansomHub" для проведения сложной кибератаки на организацию производственного сектора. Этот инцидент подчеркивает эволюцию тактики и изощренность участников киберугроз, подчеркивая необходимость усиления организациями своих средств кибербезопасности для защиты от подобных атак.
-----

В тексте описывается инцидент, произошедший в октябре 2024 года, когда хакерская группа, известная как "Scattered Spider", сотрудничала с группой программ-вымогателей "RansomHub" для проведения сложной кибератаки на организацию производственного сектора. Компания Scattered Spider, ранее связанная с группой вымогателей "ALPHV", использовала методы социальной инженерии для взлома учетных записей сотрудников, получив доступ к системам компании. Они использовали среду ESXi организации для создания виртуальной машины, скрывая свою деятельность до тех пор, пока не зашифровали среду и не саботировали резервное копирование.

Scattered Spider связан с Сообществом, известным своим участием в различных киберпреступных действиях, связанных с социальной инженерией. Со временем группа стала сотрудничать с группами-вымогателями, такими как RansomHub, которых привлекли выгодные модели распределения прибыли. Сотрудничество между Scattered Spider и RansomHub представляет серьезную угрозу для организаций во всех секторах, что подчеркивает необходимость принятия надежных мер безопасности.

Целью злоумышленников была критически важная инфраструктура, такая как серверы ESXi и резервные копии, с целью получения максимальной финансовой выгоды и избежания обнаружения. Они использовали уязвимости в системах организации, используя социальную инженерию для получения первоначального доступа и перемещения по сети. Злоумышленники использовали такие тактические приемы, как отключение вторичной многофакторной аутентификации, нацеливание на определенные приложения и доступ к конфиденциальной информации через SharePoint.

Кроме того, в тексте обсуждается растущая тенденция появления групп программ-вымогателей, нацеленных на серверы ESXi, и подчеркивается важность защиты от таких атак. Рекомендации включают усиление методов многофакторной аутентификации, проведение оценки социальной инженерии, внедрение политик условного доступа на основе клиентов и обеспечение актуальности систем виртуализации.

Этот инцидент подчеркивает эволюцию тактики и изощренность действий участников киберугроз, подчеркивая необходимость того, чтобы организации усиливали свою защиту от кибербезопасности. Это также проливает свет на растущее сотрудничество между хакерскими группами и влияние программ-вымогателей на критически важную бизнес-инфраструктуру. Организациям рекомендуется проявлять бдительность, обновлять свои меры безопасности и внедрять передовые методы для снижения рисков, связанных с распространенными киберугрозами.

#ParsedReport #CompletenessMedium
26-10-2024

Cronus: Ransomware Threatening Bodily Harm. Appendix - Public Key

https://blog.pulsedive.com/threat-research-cronus-ransomware-threatening-bodily-harm

Report completeness: Medium

Threats:
Cronus
Process_hacker_tool
Akira_ransomware
Process_hollowing_technique
Spear-phishing_technique

Industry:
Financial

TTPs:
Tactics: 8
Technics: 1

IOCs:
Path: 1
File: 10
Registry: 1
Email: 1
Hash: 1

Soft:
steam, thebat, thebat64, onenote, outlook, PccNTMon, wordpad

Crypto:
bitcoin

Algorithms:
lzma, cbc, aes, md5, sha1, zipx, sha256, zip

Win Services:
sqlwriter, sqbcoreservice, VirtualBoxVM, sqlagent, sqlbrowser, sqlservr, agntsvc, infopath, synctime, VBoxSVC, have more...

Languages:
powershell, visual_basic

Platforms:
x86, intel

Links:
https://github.com/ThreatLabz/ransomware\_notes

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 7, table: 1, code: 7

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Cronus Ransomware - это программа-вымогатель на базе .NET, которая маскируется под счет от PayPal в вредоносном документе, чтобы инициировать шифрование файлов на всех доступных дисках устройства. Он устанавливает постоянство, требует оплату в биткоинах на сумму 500 долларов за расшифровку и использует специальную тактику для обеспечения бесперебойного шифрования и потенциальных платежей от жертв.
-----

Программа-вымогатель Cronus - это вирус на базе .NET, о котором исследователи Seqrite впервые сообщили после обнаружения вредоносного документа, отправленного в VirusTotal. Программа-вымогатель начинает свою цепочку вторжений, маскируясь под счет от PayPal в вредоносном документе. Когда пользователь взаимодействует с документом и запускает макросы, загружается сценарий PowerShell, который загружает DLL Cronus ransomware для выполнения.

После выполнения Cronus копирует себя на C:\Users\USERNAME\AppData\Local, удаляет все существующие копии, а затем инициирует шифрование файлов на всех доступных дисках устройства. Программа-вымогатель идентифицирует доступные папки, исключает определенные файлы и шифрует файлы с определенными расширениями, преобразуя файлы, доступные только для чтения, в файлы, доступные для редактирования, перед их шифрованием с использованием различных методов шифрования.

Cronus также завершает определенные процессы на устройстве, чтобы обеспечить бесперебойное шифрование, и устанавливает постоянство, изменяя раздел реестра HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, гарантируя, что программа-вымогатель запускается всякий раз, когда пользователь снова входит в систему. Зашифрованные файлы получают случайное буквенно-цифровое расширение из 5 символов, в отличие от других вариантов программ-вымогателей, которые используют согласованные расширения для всех зашифрованных файлов.

В записке с требованием выкупа, отправленной Cronus по имени cronus.txt, для расшифровки требуется оплата в биткоинах на сумму 500 долларов, жертвам предлагается отправить платеж на определенный кошелек и сообщить идентификатор транзакции по электронной почте, чтобы получить инструмент для расшифровки. В отличие от некоторых семейств программ-вымогателей, которые предоставляют ссылки для просмотра украденной информации, Cronus в своем примечании указывает только адрес электронной почты.

По состоянию на 4 октября 2024 года анализ указанного биткоин-кошелька не выявил никаких транзакций, что позволяет предположить, что жертвы, возможно, сопротивлялись выплате выкупа или внедрение программ-вымогателей с использованием этого кошелька не увенчалось успехом. Ограниченная публичная информация о Cronus подразумевает, что его глобальное использование может быть ограничено, и разработчики, вероятно, рассчитывают на низкие требования выкупа, чтобы стимулировать платежи и предотвратить сбои.