0
Microsoft har detaljerede infektionen kæden fra den kompromitterede MEDoc updater.
Billede: Microsoft
Microsoft har tirsdag bekræftet nogle indledende infektioner i Petya ransomware angreb fandt sted via Ukraine-baseret afgift regnskabs software-firma M.E.Doc, der udvikler MEDoc.
Det at finde løser en del af det mysterium, der omgiver gårsdagens store ransomware udbrud, der ramte industrien giganter som fragt firma Mærsk, men tog et særligt kraftigt præg på organisationer i Ukraine, herunder banker, energiselskaber og selv Kiev største lufthavn.
Sikkerhed forskere spekuleret en beskadiget MEDoc updater var den første infektion vektor. Men Microsoft har nu siger, at det er solid dokumentation for, at i det mindste nogle infektioner var på grund af en software supply-chain-angreb, som startede med en legitim MEDoc updater proces.
“Selv om denne vektor blev spekuleret på længden af nyhedsmedier og sikkerhed forskere-herunder Ukraines egen Cyber-Politi — der var kun indicier for denne vektor. Microsoft har nu bevis for, at et par aktive infektioner af ransomware oprindeligt startede fra den legitime MEDoc updater proces,” siger Microsoft.
Dens telemetri data viser, at i omkring 10:30 GMT MEDoc software updater “EzVit.exe” henrettet en ondsindet kommando-linje C:\Windows\system32\rundll32.exe” “C:\ProgramData\perfc.dat”,#1 30. Det er også et diagram, som beskriver den kæde, der fører til den ransomware infektion.
Selskabet for nylig har beskrevet en lignende updater angreb mod højtprofilerede tech og finansielle virksomheder.
Microsofts siger 12,500 maskiner i Ukraine blev udsat for truslen i går. Det har også observeret, infektioner i 64 lande, herunder Belgien, Brasilien, Tyskland, Rusland, og USA. Ifølge Kaspersky Lab ‘ s data, de fleste infektioner opstået i Ukraine.
Der er nogen debat om, præcis hvad man skal kalde denne ransomware. Oprindeligt var det tænkt, at malware var en stamme, der er kendt som Petya. Men Kaspersky Lab rapporterede, at det var anderledes nok til at berettige sit eget navn. Microsoft siger, at det deler lignende kode for at Petya, men er “mere avancerede”.
Som Microsoft bemærker, malware har flere lateral bevægelse teknikker, som gør det muligt at sprede sig på et netværk, hvis det smitter kun, når maskinen. Udover at bruge SMB-sårbarheder, som WannaCry gjorde, det har også en credential-dumping værktøj til at målrette password genbrug og aktive sessioner på flere maskiner.
TheShadowBrokers, hacking gruppen, der har lækket EternalBlue udnytte anvendes af WannaCry og nu Petra, dukket op i kølvandet på gårsdagens Petya ransomware udbrud.
Som det gjorde efter WannaCry, rant udsat for hacker-gruppen er ridning på nyheder af Petya/NotPetya ransomware til at fremme sin juli “dump of the month”, som vil koste betydeligt mere end de $23,000 det debiteret for den juni dump.
Gruppen detaljer sit tilbud i et nyt indlæg på Steemit, hævder sin juni dump service var “at være en stor succes for theshadowbrokers”, der havde “mange abonnenter”. På grund af denne formodede succes, prisen for sin juli dump vil være 200 Zcash, hvilket er det dobbelte af det beløb, de sagde cryptocurrency af sin juni tilbud, men konverterer til $65,000 på dagens valutakurser.
Gruppen fremmet sin juni dump i midten af Maj, et par dage efter WannaCry udbrud. En måned tidligere dumpet flere hacking værktøjer, hvoraf de to, EternalBlue og DoublePulsar, blev brugt til at sprede WannaCry.
Gårsdagens Petya ransomware udbrud bruger EternalBlue og EternalRomance. De værktøjer, der blev udviklet af EquationGroup, som menes at være den hacking enhed af NSA.
Gruppen har ikke sagt, hvad det kan indeholde i juli dump. Den lovede en række potentielt farlige redskaber i juni dump, herunder udnytter til browsere, routere, og mobile enheder, samt udnyttelser til Windows 10, hackede netværk af data fra SWIFT-udbydere, og nuklear-og missilprogrammer programmer af Rusland, Kina, Iran og Nordkorea.
Forskerne var splittet over, om de vil betale for et abonnement. Medstifter af vagtselskab HackerHouse Matthew Hickey forsøgt at crowd-finansiering af et abonnement, så patches, der kunne udvikles, men senere på dåse planen på grund af de juridiske risici, der er for at betale en kriminel gruppe, for de udnytter og kompromitterede data.
TheShadowBrokers ikke tage æren for gårsdagens udbrud, men bemærker, at det var en “passende afslutning” for den første måned af sin dump service, som fulgte sin mislykkes forsøg på at auktionen angreb værktøjer, der er udviklet af EquationGroup.
Det er også truet med at dox en person, som det refererer til som “læge”, som gruppen mener, er en tidligere EquationGroup medlem. Den tilsyneladende mål for denne trussel @DrWolff på Twitter, har nægtet nogensinde at blive en del af EquationGroup.
Mere om sikkerhed
WannaCry: smart person ‘s guide [TechRepublic]Efter WannaCry, ransomware vil blive værre, før det bliver betterWannaCry ransomware’ s egentlige offer: Din lokale hjørne butik [CNET]på Trods af sikkerhedsrisici, ældre Windows-versioner plager tusindvis af businessesLeaked NSA hacking, exploit, der anvendes i WannaCry ransomware er nu siddet med Trojan, malware
0