0
Microsoft ha dettagliato l’infezione catena, dal compromesso MEDoc updater.
Immagine: Microsoft
Microsoft martedì confermato iniziale di infezioni della Petya attacchi ransomware si è verificato attraverso l’Ucraina a base di contabilità fiscale società di software M.E.Doc che si sviluppa MEDoc.
La ricerca di risolve in parte il mistero che circonda ieri enormi ransomware epidemia che ha colpito i giganti del settore come società di spedizioni Maersk, ma ha preso in modo particolarmente pesante pedaggio sulle organizzazioni in Ucraina, comprese le banche, le società di energia e anche di Kiev aeroporto principale.
I ricercatori di sicurezza ipotizzato un corrotto MEDoc updater è stato il primo vettore d’infezione. Tuttavia, Microsoft dice che ha solide prove che almeno alcune infezioni sono dovute a un software per la catena di fornitura di attacco, che è iniziato con un legittimo MEDoc processo di aggiornamento.
“Anche se questo vettore è stato ipotizzato a lungo dalle notizie che i media e i ricercatori di sicurezza — anche in Ucraina propria Cyber-Polizia-c’era solo prove indiziarie per questo vettore. Microsoft ha ora la prova che un paio di infezioni attive del ransomware, inizialmente la legittima MEDoc processo di aggiornamento,” Microsoft ha detto.
I suoi dati di telemetria mostra che intorno alle 10:30 GMT MEDoc software updater “EzVit.exe” ha eseguito un dannoso riga di comando C:\Windows\system32\rundll32.exe” “C:\ProgramData\perfc.dat”,#1 30. E ‘ inoltre fornito un diagramma di dettagliare la catena che porta all’infezione ransomware.
La società ha recentemente dettagliata di un simile programma di aggiornamento attacco contro di alto profilo, tecnologia e società finanziarie.
Microsoft dice di 12.500 macchine in Ucraina sono stati esposti alla minaccia di ieri. Esso ha inoltre osservato infezioni in 64 paesi, tra cui Belgio, Brasile, Germania, Russia, e stati UNITI. Secondo Kaspersky Lab dati, la maggior parte delle infezioni si è verificato in Ucraina.
C’è un certo dibattito su esattamente ciò che chiamare questo ransomware. Inizialmente si pensava che il malware è stato un ceppo noto come Petya. Tuttavia, Kaspersky Lab ha riferito che è stato abbastanza differenti da giustificare il suo nome. Microsoft afferma di azioni codice simile per Petya ma più “sofisticati”.
Come Microsoft note, il malware ha più movimento laterale tecniche, il che permette di diffondere in rete se infetta solo una volta in macchina. Inoltre, utilizzando SMB vulnerabilità come WannaCry fatto, è anche dotato di una credenziale-dumping strumento per colpire riutilizzo di password e sessioni attive su più macchine.
TheShadowBrokers, il gruppo di hacker che perdeva il EternalBlue exploit utilizzato da WannaCry e ora Petra, riaffiora nella scia di ieri, Petya ransomware scoppio.
Come ha fatto dopo WannaCry, il rant-incline gruppo di hacker è a cavallo sulle news di la Petya/NotPetya ransomware per promuovere luglio il “dump del mese”, che costerà sensibilmente di più di $23,000 si paga per il mese di giugno dump.
Dettagli del gruppo la propria offerta in un nuovo post su Steemit, sostenendo di giugno discarica di servizio era “grande successo per theshadowbrokers”, che ha avuto “il numero di abbonati”. A causa di questo presunto successo, il prezzo di luglio il dump sarà di 200 Zcash, che è il doppio della quantità in detto cryptocurrency di giugno offrire, ma converte a $65.000 a oggi tassi di cambio.
Il gruppo ha promosso il suo giugno discarica a metà Maggio, pochi giorni dopo la WannaCry scoppio. Un mese prima, è oggetto di dumping diversi strumenti di hacking, di cui due, EternalBlue e DoublePulsar, sono state utilizzate per la diffusione WannaCry.
Ieri Petya ransomware scoppio utilizza EternalBlue e EternalRomance. Gli strumenti sono stati sviluppati da EquationGroup, che si ritiene essere l’hacking unità della NSA.
Il gruppo non ha detto che si possono includere nel luglio dump. Ha promesso una vasta gamma di utensili potenzialmente pericolosi nel giugno dump, tra cui exploit dei browser, router e dispositivi mobili, così come exploit per Windows 10, violato i dati di rete da SWIFT fornitori e nucleari e missilistiche programmi di Russia, Cina, Iran e Corea del Nord.
I ricercatori sono divisi sul fatto che pagare per un abbonamento. Co-fondatore della società di sicurezza HackerHouse Matteo Hickey ha tentato di folla-fondo di una sottoscrizione patch potrebbe essere sviluppato, ma poi fisso il piano per il legale, rischi di pagare una penale di gruppo per le imprese e compromissione dei dati.
TheShadowBrokers non prendere credito per ieri scoppio, ma le note di un “fine del montaggio”, per il primo mese della sua discarica di servizio, che ha seguito il suo esito negativo il tentativo di mettere all’asta gli strumenti di attacco sviluppato da EquationGroup.
E ‘ anche minacciato di dox una persona si riferisce a come “medico” che il gruppo pensa è un ex EquationGroup membro. L’apparente obiettivo di questa minaccia, @DrWolff su Twitter, ha negato di essere mai stato parte di EquationGroup.
Di più sulla sicurezza
WannaCry: La persona intelligente guida [TechRepublic]Dopo WannaCry, ransomware è destinata a peggiorare prima di arrivare betterWannaCry ransomware di vera vittima: Il locale negozio all’angolo [CNET], Nonostante i rischi per la sicurezza, versioni di Windows precedenti peste migliaia di businessesLeaked NSA hacking exploit utilizzato in WannaCry ransomware è ora di accendere il malware Trojan
0