Archiwum wg Tagów | "ransomware"

fortinet logo

Tags: , ,

GandCrab, czyli ransomware z niespodzianką

Dodany 25 czerwca 2018 przez admin

GandCrab należy do najszerzej rozpowszechnionych w tym roku rodzin ransomware. W swojej najnowszej odsłonie zmienia tapety w zainfekowanych urządzeniach, wyświetlając na nich notę z żądaniem okupu. Cyberprzestępcy popełnili jednak niezamierzony błąd, dzięki któremu użytkownicy systemu Windows 7 mogą przy odrobinie wysiłku pozbyć się złośliwego oprogramowania.

Złośliwe oprogramowanie GandCrab jest wysyłane do ofiary jako załącznik w phishingowej wiadomości e-mail.

GandCrab po zaszyfrowaniu plików zmienia tapetę pulpitu ofiary, aby wyświetlić na nim informację o okupie. Jest to element charakterystyczny dla ransomware, który był używany także przez inne rodziny tego typu złośliwego oprogramowania.

Co ciekawe, GandCrab po tym, jak zaszyfruje pliki na urządzeniu ofiary, zmusza system do ponownego uruchomienia. Specjaliści z FortiGuard Labs firmy Fortinet odkryli jednak problem, który wystąpił w systemie Windows 7 – zaskakujący zarówno dla cyberprzestępców jak i dla użytkowników.

W tym przypadku system nie ładuje się do końca, co oznacza, że nie uruchamia się Eksplorator Windows. Użytkownik nie widzi więc ikon na pulpicie ani paska Start – mówi Robert Dąbrowski, główny inżynier systemowy w Fortinet.

Sprawia to, że komputer jest pozornie bezużyteczny, a jego użytkownik widzi jedynie informację o okupie jako tapetę oraz witrynę pobierania przeglądarki TOR Browser, która zapewnia niemal całkowicie anonimowy dostęp do internetu.

Zdaniem specjalistów Fortinet taki efekt nie był zamierzony. Instrukcja zawarta w informacji o okupie nakazuje bowiem ofierze zapoznanie się z jednym z plików .txt, co wymaga dostępu do interfejsu systemu Windows. Podobny błąd nie pojawia się w systemach Windows 8.1 oraz Windows 10.

Jak sobie z tym poradzić?

W tej sytuacji użytkownicy Windowsa 7 mogą pozbyć się GandCraba. Na początek należy za pomocą klawiatury uruchomić menedżera zadań (CTRL + SHIFT + DEL) i zakończyć proces ransomware. – Dla przeciętnego użytkownika znalezienie właściwego złośliwego oprogramowania na liście uruchomionych procesów może być trudnym zadaniem. Nazwa procesu jest bowiem generowana losowo. Trzeba wykazać się znajomością nazw bezpiecznych procesów, które mogą działać na zarażonym komputerze, aby zauważyć ten podejrzany – wyjaśnia ekspert.

Ponieważ GandCrab ma mechanizm autorun, trzeba również po wyłączeniu procesu usunąć jego plik wykonywalny znajdujący się w lokalizacji APPDATA% \ Microsoft \ <losowe znaki > .exe (np. Gvdsvp.exe).

Jeśli ta czynność nie zostanie wykonana, to nawet pomimo usunięcia procesu ransomware znów uruchomi się po ponownym włączeniu komputera. Rekomendowane jest także usunięcie odpowiedniego wpisu autorun w rejestrze.

Jaka lekcja z tego płynie? – Podstawową zasadą jest, że wszelkie wiadomości e-mail z załącznikami, zwłaszcza takimi jak plik wykonywalny, czyli uruchamiający program, w tym wypadku wirusa, muszą zostać przed otwarciem zeskanowane i zweryfikowane przez oprogramowanie ochronne – radzi Robert Dąbrowski.

Nawet jeśli nowa odsłona GandCraba nie działa zgodnie z intencją jego twórców na wszystkich systemach operacyjnych, to jednak w efekcie ten ransomware może i tak być  niebezpieczny. Ponadto jest to dowód na to, że autorzy GandCraba wciąż pracują nad rozwijaniem kolejnych wersji swojego narzędzia. Możemy zatem mieć pewność, że jeszcze niejednokrotnie o nim usłyszymy.

Źródło: Fortinet

Komentarzy (0)

barracuda logo

Tags: , , , , ,

Kryptowaluty są łakomym kąskiem dla cyberprzestępców

Dodany 24 kwietnia 2018 przez admin

Wartość Bitcoin wzrosła o ponad 180 procent w ciągu kilku tygodni. Częściowo wynika to z popularności cyberataków ransomware i ransomware-as-a-service, które podnoszą wartość tej waluty. Raptowny wzrost popularności Bitcoina został również zauważony przez cyberprzestępców, którzy aktywnie dążą do kradzieży danych uwierzytelniających użytkowników, uzyskania dostępu do portfeli Bitcoin i włamują się do miejsc wymiany kryptowalut. Ponadto nieuregulowany charakter transakcji Bitcoin ułatwia cyberprzestępcom łatwe ukrywanie śladów ich działalności.

Duża wartość kryptowalut sprawia, że cyberprzestępcy coraz chętniej biorą je sobie za cel. W ostatnim czasie zaobserwowaliśmy przypadki ukierunkowanych ataków phishingowych związanych z Bitcoinem, mających na celu przechwycenie danych uwierzytelniających użytkowników i próby kradzieży kluczy do kont Bitcoinowych znajdujących się w cyfrowych portfelach. Coraz częściej można usłyszeć o atakach sponsorowanych przez państwo. Na przykład pojawiły się doniesienia, że grupa Lazarus z Korei Północnej przeprowadza spekulacyjne ataki phishingowe na kadrę zarządzającą przedsiębiorstw prowadzących transakcje w kryptowalucie. Innym przykładem aktywności cyberprzestępców była akcja hakerów, którzy z powodzeniem ukradli ponad 70 milionów dolarów w Bitcoinach z wiodącego rynku NiceHash, używając skradzionych danych uwierzytelniających do włamania się. To tylko kilka przykładów pokazujących, jak podatne na zagrożenia są cyfrowe waluty i usługi portfela cyfrowego. Stanowi to również wtórne zagrożenie dla organizacji, ponieważ cyberprzestępcy mogą wykorzystywać dane uwierzytelniające, skradzione w ramach kampanii phishingowych związanych z Bitcoinem do atakowania innych struktur organizacji.

Jednak cyberprzestępcy stosują nie tylko ataki phishingowe. Mining (kopanie kryptowalut) stał się ostatnio najnowszym sposobem generowania dochodów. Niedawno doniesiono, że chmura publiczna Tesli była wykorzystywana przez atakujących do kopania kryptowaluty. Odnotowano również ataki złośliwego oprogramowania, które zamieniają serwery w koparki cyfrowych walut. Najgłośniejszym przypadkiem był miner Smominru, który zainfekował co najmniej pół miliona maszyn z systemem Windows, generując miliony dolarów odpowiedzialnym za to przestępcom. Zaobserwowaliśmy też gwałtowny wzrost liczby urządzeń z systemem Android, które są celem adb.miner, złośliwego oprogramowania, które zamienia urządzenie w botnet, służący do kopania kryptowaluty Monero (XMR). Jest to oczywiście niepokojący sygnał dla organizacji, ponieważ urządzenia z systemem Android mogą potencjalnie udostępniać dane biznesowe z sieci firmowej i ewentualnie rozprzestrzeniać złośliwe oprogramowanie.

Z niedawno opublikowanego sprawozdania wynika, że obecnie pół miliarda ludzi posługuje się cyfrową walutą, ale są tego całkowicie nieświadomi. Kopanie kryptowalut to dochodowy biznes dla cyberprzestępców. Wiąże się on z poważnymi stratami biznesowymi, których organizacje mogą być nieświadome – mining kradnie zasoby organizacji, czyli moc obliczeniową  i energię potrzebną do zasilania oraz chłodzenia urządzeń. Więc nawet jeśli firma nie zostanie bezpośrednio zaatakowana, nadal może być pośrednio zaangażowana w działanie cyberprzestępców.

Organizacje, właściciele Bitcoinów i giełdy kryptowalut powinny ponownie poważnie przeanalizować swoją politykę cyberbezpieczeństwa, aby uniknąć cyberataków. Ponieważ coraz więcej organizacji pada ofiarą hakerów, działania tego typu będą się sukcesywnie nasilać, co może skutkować zniszczeniem reputacji, zainfekowaniem systemów, cyberprzestępstwami i mieć bezpośredni wpływ na kryptowaluty. Organizacje i giełdy kryptowalut muszą wdrożyć technologie zabezpieczeń, które mogą wykrywać i zapobiegać wysyłaniu ukierunkowanych e-maili phishingowych, jak również weryfikować załączniki i linki za pomocą sandboxingu (wydzielaniua części systemu informatycznego do odseparowanego uruchamiania programów, które są nieprzetestowane lub niezaufane lub pochodzą od niezaufanych stron trzecich). Również użytkownicy powinni zostać przeszkoleni w zakresie cyberbezpieczeństwa, aby nie udostępniać danych uwierzytelniających/kluczy ani nie klikać w linki w załącznikach z niesprawdzonych źródeł. Instytucje powinny wprowadzić wieloczynnikowe uwierzytelnianie dla swoich cyfrowych portfeli. Giełdy kryptowalut mają za zadanie zapewnić bezpieczeństwo całej infrastruktury sieciowej i aplikacyjnej przed infiltracją przez hakerów.

Autor tekstu: Wolfgang May, Channel Manager na region Europy Środkowej i Wschodniej, Barracuda Networks

Komentarzy (0)

f-secure logo

Tags: ,

Ochrona przed ransomware dla komputerów PC, Mac i urządzeń mobilnych

Dodany 09 kwietnia 2018 przez admin

W ciągu ostatnich kilku lat hakerom, którzy rozprzestrzeniają ransomware, udało się wyłudzić okupy wynoszące miliardy dolarów. Według ostatniego badania przeprowadzonego przez CyberEdge tylko połowie osób[1], które opłaciły okup, udało się odzyskać zablokowane pliki. Aby lepiej zabezpieczać dane użytkowników domowych, firma F-Secure udoskonaliła technologię DeepGuard, która działa w ramach pakietu ochronnego SAFE na komputery PC, Mac oraz urządzenia mobilne.

Oprogramowanie ransomware wciąż jest potężnym narzędziem w rękach cyberprzestępców. W ostatnim czasie gorączka złota była nieco mniej intensywna przez wahania na rynku kryptowalut, ale hakerzy koncentrują się już na nowych metodach wyłudzania pieniędzy, takich jak cryptojacking[2]. Cyberataki z wykorzystaniem ransomware będą skierowane w stronę użytkowników domowych, jak tylko znowu stanie się to opłacalne. To najlepszy czas, żeby odpowiednio się zabezpieczyć – mówi Sean Sullivan, doradca ds. bezpieczeństwa w firmie F-Secure.

Poza regularnym wykonywaniem kopii zapasowych w ramach działań prewencyjnych, solidne rozwiązanie ochronne pełni kluczową rolę zabezpieczającą przed złośliwymi załącznikami w e-mailach czy wykorzystywaniem przez cyberprzestępców luk w oprogramowaniu.

Technologia DeepGuard w pakiecie F-Secure SAFE to rodzaj zabezpieczenia behawioralnego, które monitoruje wybrane foldery pod kątem podejrzanych zachowań podobnych do działania ransomware. W przypadku wykrycia ryzyka, niebezpieczny proces jest automatycznie blokowany, a użytkownicy otrzymują ostrzeżenie o potencjalnym zagrożeniu.

DeepGuard identyfikuje ataki na podstawie podejrzanych symptomów i przeciwdziała tzw. exploitom, które wykorzystują błędy w oprogramowaniu, aby następnie umożliwić przeprowadzenie cyberataku. Technologia nie tylko chroni przed wymuszeniami w ramach ransomware, ale także blokuje aplikacje, które mogłyby podmienić, zmienić nazwę lub usunąć istotne plikidodaje Sullivan.

W skład pakietu SAFE oprócz funkcji DeepGuard wchodzi antywirus, ochrona przeglądania, lokalizowanie urządzeń oraz reguły rodzinne, które pomagają chronić dzieci w internecie.

Technologie ochronne od lat strzegą dostępu do systemu operacyjnego, dlatego cyberprzestępcy skupili się na innych danych, które dla większości użytkowników mogą stanowić nawet większą wartość. Wykonaliśmy istotny krok, aby zmniejszyć ten rodzaj ryzykapodsumowuje Sullivan.

Cena i dostępność

Oprogramowanie SAFE jest dostępne w bezpłatnej 30-dniowej wersji próbnej – cena rocznej subskrypcji dla 3 urządzeń (PC, Mac, Android, iOS) wynosi 139 zł.

Oprogramowanie SAFE jest także dostępne w ramach pakietu F-Secure TOTAL, który zapewnia również ochronę prywatności dzięki rozwiązaniu VPN. Możliwe jest skorzystanie z bezpłatnej 30-dniowej wersji próbnej, a cena rocznej subskrypcji dla 3 urządzeń (PC, Mac, Android, iOS) wynosi 349 zł.

Więcej informacji:
F-Secure SAFE
F-Secure TOTAL

[1] https://www.bleepingcomputer.com/news/security/only-half-of-those-who-paid-a-ransomware-were-able-to-recover-their-data/

[2] Wykorzystywanie mocy obliczeniowej zainfekowanego komputera do wykopywania kryptowaluty.

Źródło F-Secure

Komentarzy (0)

fortinet logo

Tags: , , , ,

Raport Fortinet: coraz więcej cyberataków na firmy i urządzenia IoT

Dodany 22 marca 2018 przez admin

Fortinet, globalny dostawca zaawansowanych cyberzabezpieczeń, zaprezentował wyniki najnowszego raportu na temat zagrożeń informatycznych. Według niego liczba wykrytych eksploitów wzrosła o 82% w porównaniu do poprzedniego kwartału. Cyberprzestępcy z coraz większą intensywnością biorą też na cel urządzenia IoT.

Znaczący wzrost liczby eksploitów i ruchu szyfrowanego

Według danych firmy Fortinet w czwartym kwartale 2017 roku wykryto średnio użycie 274 eksploitów (programów wykorzystujących luki w bezpieczeństwie) na firmę. To wzrost o 82% w stosunku do poprzedniego kwartału. Wzrosła także liczba wykrytych rodzin złośliwego oprogramowania (o 25%) oraz unikalnych wariantów – o 19%, co wskazuje na trwającą ewolucję narzędzi stosowanych przez cyberprzestępców.

Udział ruchu szyfrowanego za pomocą protokołu HTTPS oraz SSL wzrósł w ostatnim kwartale minionego roku do średniego poziomu 60%. – Szyfrowanie może z pewnością pomóc w ochronie danych, ale jednocześnie powoduje ograniczenie widoczności sieci, co stanowi prawdziwe wyzwanie dla tradycyjnych rozwiązań bezpieczeństwa – podkreśla Robert Dąbrowski, szef zespołu inżynierów Fortinet.

Intensywność ataków na IoT

Trzy spośród dwudziestu największych ataków zostało zidentyfikowanych jako wymierzone w urządzenia IoT w firmach. W przeciwieństwie do wcześniejszych ataków, skoncentrowanych na jednym błędzie oprogramowania, nowe botnety IoT (np. Reaper, Hajime) wykorzystują wiele luk jednocześnie. Tego typu cyberatak jest znacznie trudniejszy do odparcia. O możliwościach Reapera świadczy wzrost liczby powiązanych z nim eksploitów z 50 tysięcy do 2,7 miliona w ciągu zaledwie kilku dni. Ponadto eksperci Fortinet wykryli czterokrotnie większą aktywność złośliwego oprogramowania atakującego kamery Wi-Fi.

Niesłabnące trendy: ransomware i cryptojacking

Nie traci na popularności nastawione na wyłudzenie okupu oprogramowanie ransomware. Najbardziej rozpowszechnionym jego wariantem był Locky, a na drugim miejscu znalazł się GlobeImposter. Nastąpiła także interesująca zmiana w Darknecie. Bitcoin nie jest już jedyną kryptowalutą używaną do opłacania okupu, a cyberprzestępcy akceptują również np. Monero.

Rośnie zjawisko cryptojackingu – czyli wykorzystania złośliwego oprogramowania do wykopywania kryptowalut. Cyberprzestępcy wykorzystują moc obliczeniową komputerów niczego nieświadomych ofiar do ich wydobywania.

Industrial malware i kradzież danych za pomocą obrazów

Wzrasta liczba wykrytych luk bezpieczeństwa w przemysłowych systemach kontroli i bezpieczeństwa. Udane ataki tego typu mogą spowodować znaczne szkody o dalekosiężnych skutkach, np. zatrzymując dostawy energii elektrycznej.

W ostatnim czasie zestaw eksploitów Sundown został wykryty przez większą liczbę organizacji niż jakikolwiek inny. Sundown wykorzystuje steganografię, czyli rodzaj ataku, który osadza złośliwy kod w plikach graficznych. Ta metoda nie była przez ostatnie lata szeroko stosowana, jednak zdaje się być coraz częściej wykorzystywana przez cyberprzestępców.

Cyberzagrożenia są coraz bardziej różnorodne i obecnie żadna organizacja nie może być pewna stabilności funkcjonowania bez odpowiednich zabezpieczeń informatycznych. Tradycyjne strategie oraz architektury bezpieczeństwa muszą być zastąpione przez zintegrowane i zautomatyzowane rozwiązania, które działają z dużą precyzją i szybkością – komentuje Jolanta Malak, regionalna dyrektor Fortinet na Polskę, Białoruś i Ukrainę.

Metodologia badania

Globalny raport zagrożeń informatycznych Fortinet to kwartalny przegląd, który stanowi zestawienie danych analitycznych zebranych przez laboratoria FortiGuard Labs. Ponadto Fortinet publikuje bezpłatny biuletyn informacyjny o zagrożeniach (Threat Intelligence Brief), analizujący największe niebezpieczeństwa związane ze złośliwym oprogramowaniem, wirusami i innymi zagrożeniami internetowymi, które zostały wykryte w ostatnim czasie wraz z linkami do wyników najważniejszych badań nad zdarzeniami z ostatniego tygodnia.

Źródło: Fortinet

Komentarzy (0)

f-secure logo

Tags: , ,

Hakerzy najczęściej atakują firmy przez email – raport F-Secure

Dodany 09 marca 2018 przez admin

Skrzynki mailowe to najsłabsze ogniwo w bezpieczeństwie firm. Według nowego raportu F-Secure[1] ponad jedna trzecia cyberataków na przedsiębiorstwa dotyczy poczty elektronicznej – w postaci phishingu (16% ogółu cyberzagrożeń), jak również złośliwego oprogramowania przesyłanego w załącznikach maili (18%). Najczęstszym pojedynczym źródłem ataków (21% przypadków) było wykorzystanie przez hakerów luk w zabezpieczeniach sprzętu i oprogramowania w firmowej sieci.
Dane z raportu potwierdzają niepokojącą skuteczność kampanii phishingowych, w których celem i wektorem ataku jest człowiek, a nie system. W większości przypadków tego typu cyberataki wykorzystują socjotechnikę. Badanie pokazuje, jak istotne jest edukowanie i wyczulanie pracowników wszystkich szczebli na symptomy, które powinny być dla nich alarmujące mówi Leszek Tasiemski, wiceprezes Rapid Detection Center w firmie F-Secure.

20% przeanalizowanych przypadków to ataki wewnętrzne, które zostały spowodowane bezpośrednio przez pracownika zatrudnionego w danej organizacji.

Aż jedną piątą stanowiły tzw. insider attacks, czyli celowe działania osób ze środowiska firmy. Ta obserwacja powinna zwrócić uwagę na to, jak ważna w każdym przedsiębiorstwie jest segmentacja zasobów sieciowych i ograniczanie uprawnień dostępu do danych mówi Tasiemski. 

Ataki ukierunkowane (wymierzone w konkretną osobę lub organizację) i nieukierunkowane (masowe ataki, w których ofiary padają przypadkowo) występowały niemal w równych proporcjach – stosunek wynosił 55 do 45%.

Mamy do czynienia z dwoma, bardzo różnymi w naturze, modelami ataków. Z jednej strony są to ataki przypadkowe, oportunistyczne. Do tej kategorii możemy śmiało zaliczyć np. masowy atak ransomware, podczas którego tylko część zaatakowanych organizacji okaże się podatna. Niewiele większy odsetek stanowią ataki ukierunkowane – przygotowane pod kątem konkretnej organizacji, a nawet osoby. Zazwyczaj są one dokładniej przemyślane i trudniejsze do wykrycia, a ich celem jest głównie kradzież danych podsumowuje Tasiemski.  


Według raportu najczęstszym działaniem podejmowanym przez cyberprzestępców po skutecznym przeprowadzeniu ataku było rozpowszechnianie złośliwego oprogramowania – głównie w celach zarobkowych, ale również po to, aby szpiegować lub zachować dostęp do infrastruktury na przyszłość.

Największym problemem, z jakim borykają się firmy, jest odpowiednio wczesne reagowanie na próby przeprowadzenia cyberataku. W wielu przypadkach wykrycie naruszeń bezpieczeństwa odbywa się nawet rok[2] po zaistnieniu zdarzenia.

Specjaliści z F-Secure zalecają rewizję procedur cyberbezpieczeństwa w firmach (13% zgłoszeń stanowiły fałszywe alarmy) oraz inwestycję w odpowiednie rozwiązania do wykrywania i reagowania na incydenty – szczególnie w perspektywie wchodzącego w życie 25 maja RODO. Niezmiernie istotne jest również przeprowadzanie regularnych szkoleń w celu poprawiania świadomości pracowników.

[1] Incident Response Report, 2018 https://fsecurepressglobal.files.wordpress.com/2018/02/f-secure-incident-response-report.pdf

[2] https://business.f-secure.com/the-glaring-gap-in-security-posture

Źródło: F-Secure

Komentarzy (0)

veeam logo

Tags: , ,

Komentarz Veeam dot. Ransomware Saturn

Dodany 22 lutego 2018 przez admin

Hakerzy zazwyczaj atakują te osoby, które będą najbardziej zdesperowane, aby odzyskać dostęp do swoich danych, a zatem będą również skłonne płacić okup. Pod tym względem Saturn nie różni się od innych form ransomware. Jednakże w przypadku tego konkretnego zagrożenia nowością jest fakt, że jego twórcy oferują oprogramowanie szyfrujące za darmo poprzez program partnerski Ransomware-as-a-Service (RaaS). Jest to niezwykle niepokojące, ponieważ daje szansę każdemu, kto ma stosunkowo podstawowe umiejętności informatyczne, na łatwe rozprzestrzenianie wirusa szyfrującego dokumenty użytkowników.

Najlepszą formą uniknięcia ataku za pomocą ransomware Saturn, podobnie jak w przypadku innych tego typu wirusów, jest zachowanie reguły 3-2-1. Zakłada ona, że trzy różne kopie danych krytycznych są przechowywane na dwóch różnych nośnikach, z czego jedna w zupełnie innej lokalizacji. Nowoczesnym dodatkiem do tej reguły jest jednakże dodanie jeszcze jednej kopii, będąc offline. Media zapisane offline są bardziej odporne na wirusy i inne zagrożenia płynące z sieci.

Andrzej Niziołek, starszy menedżer regionalny Veeam Software w północnej i południowej części Europy Wschodniej

Komentarzy (0)

fortinet logo

Tags: , , , , ,

Od ransomware do miner malware. Cyberprzestępcy zmieniają upodobania?

Dodany 21 stycznia 2018 przez admin

Według badań przeprowadzonych przez University of Cambridge, kapitalizacja rynkowa kryptowalut wzrosła ponad trzykrotnie od początku zeszłego roku i raczej na tym się nie skończy. Coraz więcej osób zdaje sobie sprawę, że inwestycja w kryptowaluty może być bardzo opłacalna. Z kolei tam, gdzie pojawia się zysk, pojawiają się też ataki cyberprzestępców.

Analitycy z laboratorium FortiGuard Labs firmy Fortinet odkryli nowe, ale podobne do znanych już wcześniej, złośliwe oprogramowanie atakujące rynek kryptowalut. Odpowiedzialna za jego powstanie jest grupa przestępcza, która stoi za ransomware VenusLocker.

Autorzy tego malware’u zmienili swój sposób działania i zwrócili uwagę na Monero, kryptowalutę open-source utworzoną w kwietniu 2014 r., która obecnie kosztuje około 400 USD.

Jak działa Monero miner?

Złośliwe oprogramowanie ma na celu wykopywanie kryptowaluty na rzecz przestępców z komputera ofiary. Atak nadchodzi jako phishingowa wiadomość e-mail. Na przykład jeden z wariantów udaje, że pochodzi od sprzedawcy odzieży online, który twierdzi, że dane odbiorcy zostały ujawnione w wyniku włamania do witryny. Oczywiście wiadomość e-mail nakłania do otwarcia zainfekowanego załącznika, aby uzyskać więcej szczegółów i instrukcję działania. Inny wariant informuje odbiorcę maila, że jest prawnie odpowiedzialny za wykorzystywanie na swojej stronie www grafik bez zgody ich twórców. Następnie zaleca, aby odbiorca otworzył załącznik, aby sprawdzić pliki, o których mowa.

Po załadowaniu szkodliwego oprogramowania uruchamiany jest plik binarny narzędzia Monmer CPU XMRig v2.4.2. Aby ukryć tę operację, malware podszywa się pod plik wuapp.exe, który uruchamiany jest wcześniej, co pozwala uniknąć podejrzeń.

Co ciekawe, ten sam schemat został użyty w przeszłości przez ransomware VenusLocker. – Aby to potwierdzić, analitycy FortiGuard Labs przyjrzeli się metadanym plików skrótów i znaleźli bezpośredni związek z oprogramowaniem ransomware. Oprócz ścieżek docelowych pliki skrótów używane w ransomware VenusLocker są praktycznie identyczne z używanymi w tej kampanii – wyjaśnia Robert Dąbrowski, szef zespołu inżynierów Fortinet.

Dlaczego Monero?

Dlaczego cyberprzestępcy nie skupiają się na Bitcoinie tylko na wycenianym o wiele niżej Monero? Istnieją dwa główne powody.

Po pierwsze: algorytm wydobywania Monero jest przeznaczony dla zwykłych komputerów, w przeciwieństwie do Bitcoina, który wymaga specjalistycznego sprzętu, takiego jak układy scalone specyficzne dla aplikacji (ASIC) lub wysokiej klasy procesory graficzne. Zatem przestępcy wybierają tę kryptowalutę, która pozwala im na przeprowadzanie szerzej zakrojonych kampanii.

Drugim powodem jest obietnica anonimowości transakcji Monero, które używa tak zwanych „adresów stealthowych” wraz z „mieszaniem transakcji”, co sprawia, że ​​ szczegółowa przejrzystość nie istnieje.

Możemy się tylko domyślać, czy zmiana zainteresowań z ransomware na wykopywanie kryptowalut jest początkiem nowego trendu na nadchodzący rok. Prawdopodobnym powodem takiego „przebranżowienia” grup przestępczych jest znaczący wysiłek, jaki branża cyberbezpieczeństwa wkłada w walkę z atakami ransomware. Z tego powodu wymuszenie okupu nie jest już tak łatwe, jak w przeszłości.

Źródło: Fortinet

Komentarzy (0)

veeam logo

Tags: , ,

Komentarz eksperta Veeam dotyczący ostatnich ataków ransomware, w tym „Bad Rabbit”

Dodany 01 listopada 2017 przez admin

„Pojawienie się kolejnego ataku ransomware (mającego na celu wymuszenie okupu) było jedynie kwestią czasu. Najnowsze zagrożenie o nazwie ‘Bad Rabbit’ wydaje się być skierowane w stronę sieci korporacyjnych, ale czas pokaże jak będzie się rozprzestrzeniało dalej. Dochodowy biznes, jakim stało się wymuszanie okupów w cyberprzestrzeni, ma się bardzo dobrze. Wynika to z występowania wielu czynników ryzyka, takich jak nieprawidłowe zarządzanie aktualizacjami, niedostateczne środki bezpieczeństwa, błędy pracowników i użytkowników czy też korzystanie z kryptowalut o niepewnym pochodzeniu.

Przedsiębiorstwa nie powinny za wszelką cenę dążyć do bycia całkowicie odpornymi na ataki hakerskie – z uwagi na ciągle zmieniający się krajobraz zagrożeń w cyberprzestrzeni jest to po prostu niemożliwe. Jak zatem się bronić? Należy wykonywać regularne aktualizacje, stosować procedury wspierające polityki bezpieczeństwa IT, wdrażać solidne narzędzia zabezpieczające oraz wykonywać kopie zapasowe, które zlokalizowane są poza wykorzystywanymi na co dzień sieciami IT. Widzieliśmy wiele firm, które pomimo tego, że padły ofiarami ataków ransomware, ostatecznie wyszły z opresji, ponieważ były w stanie przywrócić aktualne, pełne i zweryfikowane kopie danych ze zdalnych lokalizacji.

Na koniec przestroga dla organizacji, które padły ofiarami ataku ransomware. Cyberprzestępcy, którzy otrzymają okup od swoich ofiar, nie są absolutnie zobowiązani do dostarczenia im kluczy odszyfrowujących. Dlatego Veeam stanowczo odradza płacenie okupu, ponieważ takie ugięcie się przed cyberprzestępcami jedynie napędza rozwój nowych ataków i zachęca internetowych szantażystów do dalszego działania” – powiedział Tomasz Krajewski, szef zespołu inżynierów na Europę Wschodnią w Veeam Software.

Źródło: Veeam Software

Komentarzy (0)

fortinet logo

Tags: , , , ,

Bad Rabbit pędzi przez świat

Dodany 01 listopada 2017 przez admin

Nowy ransomware nazwany Bad Rabbit został po raz pierwszy wykryty we wtorek, 24 października w Rosji i na Ukrainie. Niewielką liczbę infekcji odnotowano także w pozostałej części wschodniej Europy, Niemczech i Turcji. Atak rozprzestrzenia się na inne regiony, o czym świadczą raporty z USA i Korei Południowej.

Potwierdzono m.in., że Bad Rabbit zainfekował kilka agencji prasowych w Rosji, w tym Interfax, zmuszając ją do pracy w trybie offline. Ponadto ataku doświadczył sektor transportu publicznego. Bad Rabbit zaatakował np. Międzynarodowy Port Lotniczy w Odessie oraz metro w Kijowie. Obecnie nie ma jednoznacznej odpowiedzi na pytanie, kto jest odpowiedzialny za atak.

Wstępnym wektorem ataku jest użytkownik, który instaluje złośliwe kopie programu Flash Player, otrzymane przez zainfekowane strony internetowe lub metodą watering hole attack, w której celem cyberprzestępcy jest określona grupa użytkowników. Aby do niej dotrzeć, infekuje urządzenie jednego z nich, uzyskując dostęp do sieci w jego miejscu zatrudnienia.

Użytkownicy instalują Bad Rabbit poprzez otwarcie złośliwego pliku .exe, który uruchamia aplikację ransomware. Następnie złośliwe oprogramowanie próbuje wykraść poświadczenia użytkownika w systemie operacyjnym Windows (nazwa użytkownika i hasła) i zaszyfrować pliki użytkowników. W przeciwieństwie do innych znanych ransomware, złośliwe oprogramowanie nie zmienia nazw plików, które szyfruje.

Testy w laboratorium FortiGuard Labs firmy Fortinet wykazały, że Bad Rabbit próbuje wylistować różne adresy IP w tej samej podsieci. Jednym z możliwych powodów takiego zachowania jest to, że ransomware może szukać wewnętrznego adresu IP, który jest prawidłowym serwerem internetowym. Ponadto Bad Rabbit próbował także poruszać się w poprzek sieci, aby znaleźć i zainfekować inne wrażliwe urządzenia.

Bad Rabbit może być wariantem znanego ransomware Petya, a raz uruchomiony zaczyna szyfrować pliki na komputerze i udostępnione w sieci, zanim jeszcze wyświetli notatkę dotyczącą okupu – mówi Robert Dąbrowski, szef zespołu inżynierów Fortinet.

W celu odblokowania zaszyfrowanych plików ransomware wymaga wpłaty w wysokości 0,05 Bitcoina lub około 275 USD. Atak ten przyciąga wiele uwagi przede wszystkim z powodu pewnych podobieństw do poprzednich głośnych przypadków ataków ransomware: WannaCry i Petya. Podobnie jak one używa protokołu SMB (Server Message Block), ale w przeciwieństwie do nich Bad Rabbit nie wykorzystuje podatności Eternal Blue lub DoublePulsar.

Źródło: Fortinet

Komentarzy (0)

f-secure logo

Tags: , , ,

Co RODO mówi o ransomware?

Dodany 28 sierpnia 2017 przez admin

Ogólne rozporządzenie o ochronie danych osobowych (RODO, znanego też pod angielskim skrótem jako GDPR) zacznie obowiązywać w maju 2018 r. Wiele polskich firm rozpoczyna już analizę przepisów i przygotowuje się do koniecznych wdrożeń, tak aby spełnić najnowsze wymogi.

Rozporządzenie dostarcza organizacjom wytyczne odnośnie zarządzania danymi osobowymi, które gromadzą o klientach. Wyjaśnia m.in., co firmy muszą zrobić, żeby zabezpieczyć takie dane i jak mają postępować w sytuacji, kiedy utracą nad nimi kontrolę.

Ponieważ RODO jest dokumentem prawnym, konieczne jest zrozumienie, co w tym kontekście oznacza „naruszenie ochrony danych osobowych”. Oto definicja podana w rozporządzeniu[1]:

12) „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;

Zwrot „naruszenie ochrony danych” przywodzi na myśl firmę tracącą kontrolę nad poufnymi informacjami. W praktyce definicja RODO jest jednak znacznie szersza i może obejmować wiele różnych incydentów, w tym infekcje ransomware skutkujące blokadą dostępu do danych lub ich niszczeniem.

Co to oznacza dla firm?

Jak twierdzi dyrektor regionalny F-Secure, Michał Iwan, organizacje prawdopodobnie będą musiały zgłaszać takie infekcje władzom i klientom.

Wykrycie oprogramowania ransomware (albo dowolnego innego złośliwego oprogramowania) na stacjach roboczych czy serwerach, które odgrywają ważną rolę w przetwarzaniu danych osobowych, może stanowić naruszenie ochrony tych danych i potencjalnie konieczne będzie informowanie o tego typu zdarzeniach – mówi Michał Iwan.

Artykuły 33 i 34 RODO określają, jak należy kontaktować się z władzami i osobami, których dane dotyczą. Pojawia się jednak wątpliwość – w rozporządzeniu stwierdzono, że jest to niezbędne tylko wtedy, gdy – parafrazując – naruszenie ochrony danych może powodować ryzyko naruszenia „praw lub wolności osób fizycznych”. Sytuacja nie jest do końca jasna w przypadku zaszyfrowania lub utracenia danych w związku z infekcją ransomware.

– Jeżeli atak ransomware wpłynie na zgromadzone przez firmę dane osobowe, problemem jest nie tylko sam wyciek i konieczność zgłoszenia go, ale również to, jak odzyskać dane, żeby kontynuować działalność biznesową. W przypadku braku kopii zapasowych, ponowne zgromadzenie danych potrzebnych do funkcjonowania firmy może być ogromnym, a często wręcz niewykonalnym przedsięwzięciem. Prawdopodobnie konieczne będzie zgłoszenie incydentu, nawet w przypadkach gdy dane zostały zniszczone, a nie skradzione – komentuje Michał Iwan.

Kluczową rolę w kwestiach bezpieczeństwa zawartych w RODO odegra gotowość do reagowania na sytuacje kryzysowe.

– Z praktycznego punktu widzenia, plany reagowania na cyberataki muszą zostać zaktualizowane
i obejmować weryfikację czy dany incydent wymaga zgłoszenia na mocy RODO
– podsumowuje Michał Iwan.

[1] Pełny dokument dostępny jest pod adresem: http://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32016R0679&from=PL

Źródło: F-Secure

Komentarzy (0)

Zdjęcia z naszego Flickr'a

Zobacz więcej zdjęć

Reklama

Straciłeś dane? Skontaktuj się z Kroll Ontrack

POWIĄZANE STRONY