Forwarded from surfIT | Новости IT
Группа киберпреступников предлагает сотрудникам компаний установить вредоносное ПО за вознаграждение
Нигерийский злоумышленник пытался завербовать сотрудников, предлагая им миллион долларов в биткоинах за развертывание программ-вымогателей Black Kingdom в сетях компаний.
«Отправитель говорит сотруднику, что если он сможет развернуть вредоносное ПО на компьютере компании или сервере Windows, ему заплатят миллион долларов в биткоинах, или 40% от выкупа в размере 2,5 миллиона долларов», — говорится в отчете Abnormal Security. «Сотруднику говорят, что он может запустить программу-вымогатель с места или удаленно. Отправитель предоставил два способа связаться с ним, если сотрудник заинтересован: почта Outlook и имя в Telegram.
Black Kingdom, также известный как DemonWare и DEMON, привлек внимание в марте этого года, когда были обнаружены злоумышленники, использующие недостатки ProxyLogon, влияющие на серверы Microsoft Exchange, чтобы заразить непропатченные системы.
Abnormal Security, которая обнаружила фишинговые электронные письма, связалась с мошенником в Telegram, создав фиктивную учетку и узнала, что письмо включает две ссылки на исполняемую полезную нагрузку программы-вымогателя, которую сотрудник мог загрузить из WeTransfer или Mega.nz.
«Мошенник также поручил нам избавиться от . EXE файлов и удалить их из корзины. Основываясь на ответах мошенника, понятно, что он:
1) ожидает, что сотрудник будет иметь доступ к серверу
2) он не очень знаком с цифровой криминалистикой», — сказал директор по разведке угроз Abnormal Security.
Также следует отметить метод использования LinkedIn для сбора корпоративных адресов электронной почты руководителей высшего звена, еще раз подчеркивая, как атаки компрометации деловой электронной почты (BEC), исходящие из Нигерии, продолжают развиваться и подвергать предприятия сложным атакам, таким как программы-вымогатели.
Идея недовольного сотрудника как угрозы кибербезопасности не нова. До тех пор, пока организациям требуются сотрудники, всегда будет какой-то инсайдерский риск. Обещание получить долю выкупа может показаться привлекательным, но нет никакой гарантии, что соучастие будет вознаграждено, и весьма вероятно, что принявший предложение злоумышленника будет пойман.
Источник
#infosec #ransomware
Нигерийский злоумышленник пытался завербовать сотрудников, предлагая им миллион долларов в биткоинах за развертывание программ-вымогателей Black Kingdom в сетях компаний.
«Отправитель говорит сотруднику, что если он сможет развернуть вредоносное ПО на компьютере компании или сервере Windows, ему заплатят миллион долларов в биткоинах, или 40% от выкупа в размере 2,5 миллиона долларов», — говорится в отчете Abnormal Security. «Сотруднику говорят, что он может запустить программу-вымогатель с места или удаленно. Отправитель предоставил два способа связаться с ним, если сотрудник заинтересован: почта Outlook и имя в Telegram.
Black Kingdom, также известный как DemonWare и DEMON, привлек внимание в марте этого года, когда были обнаружены злоумышленники, использующие недостатки ProxyLogon, влияющие на серверы Microsoft Exchange, чтобы заразить непропатченные системы.
Abnormal Security, которая обнаружила фишинговые электронные письма, связалась с мошенником в Telegram, создав фиктивную учетку и узнала, что письмо включает две ссылки на исполняемую полезную нагрузку программы-вымогателя, которую сотрудник мог загрузить из WeTransfer или Mega.nz.
«Мошенник также поручил нам избавиться от . EXE файлов и удалить их из корзины. Основываясь на ответах мошенника, понятно, что он:
1) ожидает, что сотрудник будет иметь доступ к серверу
2) он не очень знаком с цифровой криминалистикой», — сказал директор по разведке угроз Abnormal Security.
Также следует отметить метод использования LinkedIn для сбора корпоративных адресов электронной почты руководителей высшего звена, еще раз подчеркивая, как атаки компрометации деловой электронной почты (BEC), исходящие из Нигерии, продолжают развиваться и подвергать предприятия сложным атакам, таким как программы-вымогатели.
Идея недовольного сотрудника как угрозы кибербезопасности не нова. До тех пор, пока организациям требуются сотрудники, всегда будет какой-то инсайдерский риск. Обещание получить долю выкупа может показаться привлекательным, но нет никакой гарантии, что соучастие будет вознаграждено, и весьма вероятно, что принявший предложение злоумышленника будет пойман.
Источник
#infosec #ransomware
Forwarded from surfIT | Новости IT
Кибератака городского масштаба
Небольшой городок в Швейцарии подвергся атаке программ-вымогателей, в результате которой была похищена конфиденциальная информация из ряда административных систем.
Один из источников ссылается на неизвестного злоумышленника из DarkWeb, который утверждает, что ему потребовалось всего 30 минут для поиска тысяч записей о жителях. Записи включали в себя их имена, места жительства, и номера соц. страхования. Также были найдены школьные записи, включая список оценок и информацию о детях, ранее зараженных Covid-19.
В заявлении, мэрия города признается, что она недооценила серьезность кибератаки, а также потенциальное использование данных. Власти сообщили, что в связи с этим инцидентом было возбуждено уголовное дело.
Источник
#infosec #dataleak #ransomware
Небольшой городок в Швейцарии подвергся атаке программ-вымогателей, в результате которой была похищена конфиденциальная информация из ряда административных систем.
Один из источников ссылается на неизвестного злоумышленника из DarkWeb, который утверждает, что ему потребовалось всего 30 минут для поиска тысяч записей о жителях. Записи включали в себя их имена, места жительства, и номера соц. страхования. Также были найдены школьные записи, включая список оценок и информацию о детях, ранее зараженных Covid-19.
В заявлении, мэрия города признается, что она недооценила серьезность кибератаки, а также потенциальное использование данных. Власти сообщили, что в связи с этим инцидентом было возбуждено уголовное дело.
Источник
#infosec #dataleak #ransomware
Forwarded from surfIT | Новости IT
Банда вымогателей выпустила бесплатный дешифратор
Банда Ragnarok, также известная как Asnarok, прекратила свою деятельность на прошлой неделе, опубликовав новость на своем публичном сайте и дешифратор, позволяющий жертвам разблокировать и восстановить файлы, на своем портале в DarkWeb.
В качестве прощального "подарка" группа выпустила свой дешифратор с главным ключом для декодирования, бесплатно разместив его на портале. Ранее сайт был главным местом, где "Рагнарок" публиковал данные жертв, отказавшихся платить выкуп.
Ragnarok стал уже третьей группой вымогателей, которая прекратила свою деятельность и предоставила жертвам возможность бесплатно восстановить файлы этим летом, после Avaddon в июне и SynAck в начале этого месяца.
Компания по безопасности, известная тем, что помогает жертвам вредоносных программ расшифровывать данные, также выпустила универсальный дешифратор для Ragnarok ransomware.
Источник
#infosec #ransomware #decryptor
Банда Ragnarok, также известная как Asnarok, прекратила свою деятельность на прошлой неделе, опубликовав новость на своем публичном сайте и дешифратор, позволяющий жертвам разблокировать и восстановить файлы, на своем портале в DarkWeb.
В качестве прощального "подарка" группа выпустила свой дешифратор с главным ключом для декодирования, бесплатно разместив его на портале. Ранее сайт был главным местом, где "Рагнарок" публиковал данные жертв, отказавшихся платить выкуп.
Ragnarok стал уже третьей группой вымогателей, которая прекратила свою деятельность и предоставила жертвам возможность бесплатно восстановить файлы этим летом, после Avaddon в июне и SynAck в начале этого месяца.
Компания по безопасности, известная тем, что помогает жертвам вредоносных программ расшифровывать данные, также выпустила универсальный дешифратор для Ragnarok ransomware.
Источник
#infosec #ransomware #decryptor
Forwarded from surfIT | Новости IT
Исходный код программы-вымогателя Babuk слили в сеть
На русскоязычном хакерском форуме выложили исходный код программы-вымогателя Babuk. Исходный код может содержать ключи расшифровки для прошлых жертв.
Babuk Locker (Babyk), - это программа-вымогатель, атакующая предприятия с целью кражи и шифрования их данных. После атаки на полицейское управление Вашингтона, разработчики заявили, что прекратили свою деятельность. Несмотря на это, спустя время была запущена программа-вымогатель под названием Babuk V2, работающая по сей день.
Babuk использует криптографию с эллиптическими кривыми (ECC) в качестве своего шифрования. Вместе с исходным кодом были обнаружены папки, содержащие шифраторы и дешифраторы, сделанные для конкретных жертв.
#infosec #ransomware
На русскоязычном хакерском форуме выложили исходный код программы-вымогателя Babuk. Исходный код может содержать ключи расшифровки для прошлых жертв.
Babuk Locker (Babyk), - это программа-вымогатель, атакующая предприятия с целью кражи и шифрования их данных. После атаки на полицейское управление Вашингтона, разработчики заявили, что прекратили свою деятельность. Несмотря на это, спустя время была запущена программа-вымогатель под названием Babuk V2, работающая по сей день.
Babuk использует криптографию с эллиптическими кривыми (ECC) в качестве своего шифрования. Вместе с исходным кодом были обнаружены папки, содержащие шифраторы и дешифраторы, сделанные для конкретных жертв.
#infosec #ransomware
♟ Новый вымогатель Rook
Технические детали и схема заражения вредоносного ПО Rook похожи на те, что были у Babuk. Вымогатель обычно скрывается в Cobalt Strike, скачанного через фишинговые письма и торрент-трекеры.
Последствия заражения серьёзны и приводят к зашифрованным и украденным данным. Стоит отметить, что группа новая и только начинает свою деятельность.
📝 Школа Кодебай |🍿Наш ютуб |👾 Наш дискорд
#ransomware #babuk
Технические детали и схема заражения вредоносного ПО Rook похожи на те, что были у Babuk. Вымогатель обычно скрывается в Cobalt Strike, скачанного через фишинговые письма и торрент-трекеры.
Последствия заражения серьёзны и приводят к зашифрованным и украденным данным. Стоит отметить, что группа новая и только начинает свою деятельность.
📝 Школа Кодебай |🍿Наш ютуб |👾 Наш дискорд
#ransomware #babuk
👍1
А как это было? - Sodinokibi и REvil. 2019 год.
Здравия всем, дамы и господа. В недавнем новостном дайджесте я забыл рассказать про событие связанное с REvil. Мне об этом напомнили и я решил, что, раз уж не определился с темой следующего «А как это было?», то это будет хорошим вариантом.
📌 Читать статью: https://codeby.net/threads/a-kak-ehto-bylo-sodinokibi-i-revil-2019-god.79318/
📝 Школа Кодебай |🍿Наш ютуб |👾 Наш дискорд
#ransomware #revil
Здравия всем, дамы и господа. В недавнем новостном дайджесте я забыл рассказать про событие связанное с REvil. Мне об этом напомнили и я решил, что, раз уж не определился с темой следующего «А как это было?», то это будет хорошим вариантом.
📌 Читать статью: https://codeby.net/threads/a-kak-ehto-bylo-sodinokibi-i-revil-2019-god.79318/
📝 Школа Кодебай |🍿Наш ютуб |👾 Наш дискорд
#ransomware #revil
👻 Вирус-вымогатель HelloXD заражает системы Linux и Windows
Системы Windows и Linux подвергаются атакам со стороны разновидности вымогательского ПО под названием HelloXD, при этом заражение происходит в результате развертывания бэкдора для обеспечения постоянного удаленного доступа к зараженным хостам.
«В отличие от других групп программ-вымогателей, это семейство программ-вымогателей не имеет активного сайта утечки; вместо этого оно предпочитает направлять пострадавшую жертву к переговорам через чат Tox и мессенджеры на основе Onion», — пишет в новой статье исследователи безопасности из компании Palo Alto Networks.
В сети вредоносное ПО HelloXD появилось осенью прошлого года и было разработано на основе утечки кода Babuk. Семейство программ-вымогателей не является исключением из правил, поскольку операторы используют проверенный метод «двойного мошенничества», требуя выплаты криптовалюты путем не только шифрования конфиденциальных данных жертвы, но и угрожая обнародовать информацию.
Рассматриваемый эксплойт под названием MicroBackdoor представляет собой вредоносное ПО с открытым исходным кодом, которое используется для передачи команд и управления (C2), а его разработчик назвал его «действительно минималистичной штукой со всеми основными функциями менее чем в 5 000 строк кода».
Возможности MicroBackdoor позволяют злоумышленнику просматривать файловую систему, загружать и скачивать файлы, выполнять команды и стирать свидетельства своего присутствия со взломанных компьютеров.
🗞 Блог Кодебай
#ransomware #linux #windows
Системы Windows и Linux подвергаются атакам со стороны разновидности вымогательского ПО под названием HelloXD, при этом заражение происходит в результате развертывания бэкдора для обеспечения постоянного удаленного доступа к зараженным хостам.
«В отличие от других групп программ-вымогателей, это семейство программ-вымогателей не имеет активного сайта утечки; вместо этого оно предпочитает направлять пострадавшую жертву к переговорам через чат Tox и мессенджеры на основе Onion», — пишет в новой статье исследователи безопасности из компании Palo Alto Networks.
В сети вредоносное ПО HelloXD появилось осенью прошлого года и было разработано на основе утечки кода Babuk. Семейство программ-вымогателей не является исключением из правил, поскольку операторы используют проверенный метод «двойного мошенничества», требуя выплаты криптовалюты путем не только шифрования конфиденциальных данных жертвы, но и угрожая обнародовать информацию.
Рассматриваемый эксплойт под названием MicroBackdoor представляет собой вредоносное ПО с открытым исходным кодом, которое используется для передачи команд и управления (C2), а его разработчик назвал его «действительно минималистичной штукой со всеми основными функциями менее чем в 5 000 строк кода».
Возможности MicroBackdoor позволяют злоумышленнику просматривать файловую систему, загружать и скачивать файлы, выполнять команды и стирать свидетельства своего присутствия со взломанных компьютеров.
🗞 Блог Кодебай
#ransomware #linux #windows
👍6❤1
👨💻 Исследователи расшифровали код загрузчика Guloader
Исследователи из Unit 42 обнаружили новый вариант загрузчика вредоносного ПО Guloader, который содержит полезную нагрузку в виде шелл-кода, защищенного методами анти-анализа. Впервые вредоносное ПО было обнаружено в декабре 2019 года.
Рассматриваемый экземпляр Guloader использует обфускацию потока управления, чтобы скрыть свои функции и избежать обнаружения как при статическом, так и динамическом анализе. Кроме того, Guloader использует инструкции процессора, которые вызывают исключения, приводящие к запутыванию кода при статическом анализе.
Код вредоносной программы содержит множество ненужных инструкций и инструкций int3 (0xCC). Эти добавленные байты нарушают процесс дизассемблирования. Однако аналитики Unit 42 смогли расшифровать код. Отчет исследователей поможет сократить время анализа образцов вредоносного ПО Guloader и других семейств вредоносов, использующих похожие техники.
🗞 Блог Кодебай
#news #software #ransomware
Исследователи из Unit 42 обнаружили новый вариант загрузчика вредоносного ПО Guloader, который содержит полезную нагрузку в виде шелл-кода, защищенного методами анти-анализа. Впервые вредоносное ПО было обнаружено в декабре 2019 года.
Рассматриваемый экземпляр Guloader использует обфускацию потока управления, чтобы скрыть свои функции и избежать обнаружения как при статическом, так и динамическом анализе. Кроме того, Guloader использует инструкции процессора, которые вызывают исключения, приводящие к запутыванию кода при статическом анализе.
Код вредоносной программы содержит множество ненужных инструкций и инструкций int3 (0xCC). Эти добавленные байты нарушают процесс дизассемблирования. Однако аналитики Unit 42 смогли расшифровать код. Отчет исследователей поможет сократить время анализа образцов вредоносного ПО Guloader и других семейств вредоносов, использующих похожие техники.
🗞 Блог Кодебай
#news #software #ransomware
👍9🔥2
Сегодня в новой статье:
Что это такое?
#hardbit #ransomware
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14🔥5😁5❤3👎1🤯1
Magnibar: Исследование одного из самых сложных азиатских шифровальщиков
🔗 В новой статье мы исследуем историю, методы распространения и уязвимости, которые он эксплуатирует.
🖥 Magnibar впервые был обнаружен в Южной Корее в 2017 году и быстро распространился по Азии, используя уязвимости в Windows. Он не только шифрует файлы жертвы, но и требует выкуп за их расшифровку 👀
⏺ Детальный анализ, в котором использовались различные инструменты для исследования вредоносного ПО, включая DIE, PE Bear, Tiny Tracer, IDA Pro, Reko, HollowHunter и Hidra, показал, что Magnibar постоянно адаптируется и использует новые уязвимости для распространения.
⏺ Magnibar остается активным и опасным, несмотря на временные периоды "спячки". Его способность к адаптации и использование новых уязвимостей делают его одним из самых сложных шифровальщиков.
➡️ Читать подробнее
#magnibar #ransomware
#magnibar #ransomware
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10🔥6💯3❤2
Этот шифровальщик не просто заблокирует ваши данные, но и проведёт персонализированную беседу о выкупе. Во второй части статьи мы углубились в его методы, которые делают его таким опасным
Что мы узнали o HardBit:
В статье разобраны детали функционирования вредоноса: как он закрепляется в системе и как он использует сложные методы шифрования.
🗣️ Автор также делится своим опытом борьбы с защитными механизмами, такими как DNGuard HVM, и рассказывает, как можно попробовать его обойти с помощью x64dbg.
Но самое интересное — это подход к жертвам:
#hardbit #ransomware
Please open Telegram to view this post
VIEW IN TELEGRAM
👍16❤5🔥5❤🔥3😱2
Ранее злоумышленники нацеливались на Европу, а теперь их цель – страны Южной Америки, с увеличением числа атак почти в два раза
Что говорят эксперты?
🗣️ Cisco Talos подтверждает: атаки с использованием этого варианта ransomware уже начали снижаться к 2024 году, но угроза остаётся на высоком уровне. Злоумышленники могут быть связаны с крупным картелем или работать как брокеры первоначального доступа.
Осторожно! Хакеры часто используют стандартные папки системы (Музыка, Изображения, Документы) для скрытого хранения своих инструментов!
#новости #ransomware
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12❤8🔥3⚡1👎1😱1