0
Microsoft heeft de infectie keten van de besmette MEDoc updater.
Afbeelding: Microsoft
Microsoft op dinsdag bevestigde een aantal initiële infecties in de Petya ransomware aanvallen plaatsgevonden via Oekraïne op basis van de fiscale boekhouding software bedrijf M.E.Doc ontwikkelt MEDoc.
Het vinden van lost een deel van het mysterie rondom gisteren enorme ransomware uitbraak van dat hit-industrie reuzen zoals de scheepvaart firma Maersk, maar nam een bijzonder zwaar tol op organisaties in de Oekraïne, met inbegrip van banken, energiebedrijven en zelfs Kiev de belangrijkste luchthaven.
Beveiliging onderzoekers speculeerden een beschadigd MEDoc updater was de eerste infectie vector. Echter, Microsoft heeft nu zegt dat het is solide bewijs dat ten minste sommige infecties werden veroorzaakt door een software-supply-chain-aanval die begon met een legitieme MEDoc updater proces.
“Hoewel deze vector werd gespeculeerd in de lengte door de media en de beveiliging onderzoekers-waaronder Oekraïne eigen Cyber Politie — er was alleen indirect bewijs voor deze vector. Microsoft heeft nu het bewijs dat een paar actieve infecties van de ransomware begon in eerste instantie van de legitieme MEDoc updater proces,” Microsoft heeft gezegd.
De telemetrie gegevens blijkt dat bij ongeveer 10:30 GMT de MEDoc software updater “EzVit.exe” uitvoeren van een kwaadaardige commando-regel C:\Windows\system32\rundll32.exe” “C:\ProgramData\perfc.dat”,#1 op 30. Het is ook een diagram waarin de keten die leidt tot de ransomware infectie.
De onderneming heeft onlangs een gedetailleerde soortgelijke updater aanval tegen high-profile tech en financiële ondernemingen.
Microsoft zegt 12.500, – bij machines in de Oekraïne werden blootgesteld aan de dreiging van gisteren. Het is ook waargenomen infecties in 64 landen, waaronder België, Brazilië, Duitsland, Rusland en de verenigde staten. Volgens Kaspersky Lab-gegevens, de meeste infecties zijn opgetreden in de Oekraïne.
Er is enige discussie over wat deze ransomware. In eerste instantie werd gedacht dat de malware werd een stam bekend als Petya. Echter, Kaspersky Lab gemeld dat het anders was genoeg om te rechtvaardigen zijn eigen naam. Microsoft zegt dat het deelt dezelfde code Petya maar is “meer geavanceerde”.
Als Microsoft opmerkingen, de malware heeft meerdere zijdelingse beweging technieken, die het mogelijk maakt het te verspreiden op een netwerk als het infecteert slechts eenmaal machine. Naast het gebruik van SMB kwetsbaarheden als WannaCry deed, het beschikt ook over een identificatie-dumping tool te richten wachtwoord hergebruik en actieve sessies op meerdere machines.
TheShadowBrokers, het hacken van de groep die gelekte de EternalBlue exploit gebruikt door WannaCry en nu Petra, dook in het kielzog van gisteren Petya ransomware uitbraak.
Als na WannaCry, de tirade-gevoelig hacker groep is paardrijden op het nieuws van de Petya/NotPetya ransomware te promoten juli “dump van de maand”, waarvan de kosten aanzienlijk meer dan de $23,000 opgeladen voor de juni-dump.
De details van de groep zijn aanbod in een nieuwe post op Steemit, beweren juni dump service was: “groot succes voor theshadowbrokers” die had “veel abonnees”. Vanwege deze vermeende succes, de prijs van de juli-dump 200 Zcash, wat het dubbele is van het bedrag dat in de genoemde cryptocurrency van juni bieden, maar converteert naar 65.000 dollar op de huidige wisselkoersen.
De groep bevorderd juni dump medio Mei, een paar dagen na de WannaCry uitbraak. Een maand eerder gedumpt verschillende hacking-tools, waarvan er twee, EternalBlue en DoublePulsar, werden gebruikt om zich te verspreiden WannaCry.
Gisteren Petya ransomware uitbraak gebruikt EternalBlue en EternalRomance. De tools zijn ontwikkeld door EquationGroup, waarvan wordt aangenomen dat het hacken van de eenheid van de NSA.
De groep heeft niet gezegd wat dat kan zijn in de juli-dump. Het beloofd een aantal potentieel gevaarlijke werktuigen in de juni-dump, met inbegrip van exploits voor browsers, routers en mobiele apparaten, alsmede van exploits voor Windows 10, gehackte netwerk gegevens van SWIFT leveranciers, en nucleaire en raketprogramma ‘ s van Rusland, China, Iran en Noord-Korea.
Onderzoekers zijn verdeeld over de vraag of om te betalen voor een abonnement. Mede-oprichter van beveiligingsbedrijf HackerHouse Matthew Hickey geprobeerd om de menigte-fonds een abonnement dus patches kan worden ontwikkeld, maar later ingeblikte het plan vanwege de juridische risico ‘ s van het betalen van een criminele groep voor de exploits en gecompromitteerde gegevens.
TheShadowBrokers niet met de eer gisteren uitbraak, maar merkt het was een passend einde” voor de eerste maand van de dump-service, die gevolgd zijn mislukt de poging om de veiling aanval instrumenten die zijn ontwikkeld door EquationGroup.
Het is ook dreigde te dox een persoon verwijst als “arts” die de groep denkt is een voormalige EquationGroup lid. Het schijnbare doel van die bedreiging, @DrWolff op Twitter, heeft ontkend ooit deel uit van EquationGroup.
Meer over beveiliging
WannaCry: De smart person ‘s guide [TechRepublic]Na WannaCry, ransomware zal slechter worden, voordat het wordt betterWannaCry ransomware is het echte slachtoffer: Uw plaatselijke winkel op de hoek [CNET]Ondanks de veiligheidsrisico’ s, oudere Windows-versies pest duizenden businessesLeaked NSA hacken exploit gebruikt in WannaCry ransomware is nu het voeden van Trojan malware
0