Материалы по тегу: вымогатель

04.09.2021 [14:51], Владимир Мироненко

Mandiant и Sophos рассказали о новых атаках с использованием ProxyShell

Исследователи киберугроз и специалисты по реагированию на инциденты продолжают отслеживать активность атак, связанных с уязвимостями ProxyShell в Microsoft Exchange, в том числе эффективные атаки программ-вымогателей. В настоящее время множество злоумышленников активно используют ProxyShell для установки бэкдоров. Это подтверждается двумя частями нового исследования, проведенного компаниями Mandiant и Sophos, которые мониторят активность ProxyShell уже несколько недель.

«Mandiant наблюдала цепочку эксплойтов, приводящую к развертыванию веб-оболочек, бэкдоров и утилит туннелирования для дальнейшей компрометации организаций-жертв. На момент выпуска этого блога Mandiant отслеживает восемь независимых кластеров. Mandiant ожидает, что будет сформировано больше кластеров по мере того, как различные злоумышленники будут применять рабочие эксплойты», — сообщили исследователи.

chubk.com

chubk.com

В ходе одной атаки ProxyShell, на которую отреагировала команда Managed Defense, жертвой злоумышленника под кодовым именем UNC2980, стал американский университет. Mandiant сообщила, что группа использовала известные уязвимости из базы CVE для получения начального доступа. Затем она применила несколько общедоступных инструментов для похищения данных. Это лишь одна из множества групп угроз, которые возникли за последние несколько недель и оцениваются (хотя на данный момент с низкой степенью достоверности) как кибершпионаж, осуществляемый Китаем.

В свою очередь, группа реагирования на инциденты Sophos поделилась подробностями расследования серии недавних атак банды вымогателей Conti, которая также использовала ProxyShell для установления первоначального доступа перед тем, как задействовать свои стандартные инструменты. Conti далеко не первой начала использовать ProxyShell (как, например, операторы нового вымогателя LockFile), но атаки Conti, отслеживаемые Sophos, были необычными, поскольку они разворачивались в рекордно короткие сроки.

Sophos

Sophos

«По мере того, как злоумышленники накопили опыт использования этих методов, время ожидания перед запуском полезной нагрузки в целевых сетях сократилось с недель до дней и часов», — пояснил старший исследователь угроз в Sophos Labs Шон Галлахер (Sean Gallagher). Так, в одном случае злоумышленники смогли получить доступ к сети и развернуть веб-оболочку менее чем за минуту. Через три минуты они установили вторую, резервную веб-оболочку.

В течение 30 минут они сформировали полный список узлов сети, контроллеров домена и администраторов. Через четыре часа были извлечены учётные данные администраторов домена, а через 48 часов после получения первоначального доступа злоумышленники извлекли около 1 Тбайт данных. По прошествии пяти дней они развернули программу-вымогатель Conti на каждой машине в сети, специально нацелившись на общие сетевые ресурсы. В ходе атаки они установили семь лазеек в сети жертвы.

Галлахер призвал пользователей Microsoft Exchange применить исправления, которые уменьшают опасность эксплойтов ProxyShell, отметив, что доступные исправления требуют установку недавнего накопительного обновления Exchange Server, что  фактически означает вынужденный простой. По этой причине некоторые из пользователей откладывают установку исправлений.

Постоянный URL: http://servernews.ru/1048318
24.12.2020 [16:33], Владимир Мироненко

Microsoft, McAfee, Rapid7 создали группу по борьбе с программами-вымогателями

Крупные разработчики решений в сфере информационной безопасности и группы компаний объединились с Институтом безопасности и технологий (IST), чтобы сформировать Целевую группу по программам-вымогателям (RTF, Ransomware Task Force). В группу вошло 17 учредителей, включая McAfee, Microsoft и Rapid7, а также другие альянсы по обеспечению безопасности киберпространства, такие как Cyber Threat Alliance и Global Cyber Alliance.

AndreyPopov/Getty Images

AndreyPopov/Getty Images

Филип Райнер (Philip Reiner), генеральный директор IST, который возглавит работу, ожидает, что организация будет в дальнейшем расширяться. По его словам, рабочие группы сформируются в начале 2021 года, и целевая группа проведёт большую часть своей исследовательской работы в январе и феврале.

«Мы намерены работать быстро, — говорит Райнер. — Мы стремимся объединить наши ресурсы и указать людям, где они могут получить информацию о программах-вымогателях, а также у нас есть некоторые идеи, которые мы можем представить в виде новых законов и финансирования, необходимого для борьбы с программами-вымогателями».

Нет никаких сомнений в том, что программы-вымогатели оказали сильное влияние на экономику в этом году. Ущерб от них достиг $11,5 млрд в 2019 году и, как ожидается, в 2020 году он будет ещё выше, поскольку особенно сильно распространялись Maze, Sodinokibi, Ryuk, Dharma и многие другие штаммы.

Пришло время для отрасли поработать над проблемой программ-вымогателей, тем более что атаки не прекратились, и группы безопасности пострадали от атаки на SolarWinds, говорит Майкл Макнерни (Michael McNerne), главный операционный директор компании по страхованию кибер-рисков Resilience.

Первые две некоммерческие организации, отслеживающие всевозможные угрозы, характерные для определённых секторов экономики (ISAC), к которым обратилась целевая группа, это Межгосударственный центр обмена и анализа информации (MS-ISAC) и Центр обмена и анализа медицинской информации (H-ISAC), говорит Райнер. По его словам, целевая группа планирует привлечь к совместной работе ещё больше таких организаций.

Сачин Бансал (Sachin Bansal), генеральный советник SecurityScorecard, сообщил, что его компания уже наладила связи с группой анализа розничной торговли и гостиничного бизнеса (RH-ISAC) и ISAC по национальной обороне. По словам Сэма Карри, начальника службы безопасности Cybereason, члена-основателя новой группы, в то время как количество вновь обнаруженных штаммов компьютерных вирусов продолжает снижаться, количество многоэтапных атак с использованием программ-вымогателей значительно возрастает.

«Мы ещё не знаем, сколько членов будет в группе, но важно, чтобы в неё входили технологи, эксперты по безопасности, политические лидеры, юристы и бывшие руководители правительства», — отметил Ари Шварц (Ari Schwartz), исполнительный координатор коалиции Cybersecurity Coalition.

Постоянный URL: http://servernews.ru/1028682
14.02.2019 [00:13], Сергей Карасёв

Вымогатель Shade атакует российские компании

ESET сообщает о том, что злоумышленники организовали массовую рассылку, целью которой является распространение вредоносной программы-шифратора Shade.

Атака нацелена на российские компании. Вредоносные письма замаскированы под уведомления от известных брендов (например, от «Бинбанка» и розничной сети «Магнит»). В таких сообщениях получателю, к примеру, предлагается ознакомиться с подробностями некоего заказа.

Во вложении находится ZIP-архив, который содержит JavaScript-файл под названием «Информация.js». После извлечения и запуска этот файл скачивает загрузчик, который, в свою очередь, скачивает вредоносную программу Shade.

Названный зловред шифрует широкий спектр файлов на локальных дисках. После этого жертве предлагается заплатить выкуп за восстановление доступа к информации.

Отмечается, что на текущий момент вымогатель Shade проявляет наибольшую активность в России — более половины от всех обнаруженных вредоносных вложений. Кроме того, атаке подверглись пользователи Германии, Японии и Украины. 

Постоянный URL: http://servernews.ru/982733
16.11.2017 [12:12], Сергей Юртайкин

Nokia представила ПО для защиты операторов от вирусов–вымогателей

Производитель телекоммуникационного оборудования Nokia представил новое программное обеспечение для борьбы с вирусами–вымогателями. Решение под названием Nokia NetGuard Security Management Center позволит операторам обрабатывать все сигналы тревоги в области безопасности, включая 70 % сигналов, которые на сегодняшний день остаются без внимания.

Nokia NetGuard Security Management Center представляет собой единый комплексный продукт, предназначенный для управления безопасностью, аналитикой и реагированием. ПО помогает телекоммуникационным компаниям отслеживать, настраивать и контролировать все установленные в их сетях системы безопасности от разных поставщиков.

По словам разработчиков, их софт способен расследовать 100 % сигналов тревоги при сокращении расходов на 50 %, ликвидировать до 70 % ложных срабатываний, ускорять расследования более чем на 50 % и отражать угрозы до того, как хакер взломает IT-системы и навредит бизнесу операторов.

Nokia NetGuard Security Management Center выпущен через несколько месяцев после масштабной атаки вируса-вымогателя WannaCry, который заразил более 230 тыс. компьютеров в 150 странах.

Постоянный URL: http://servernews.ru/961596
Система Orphus