0
Microsoft hat detailliert die Infektion Kette von den infizierten MEDoc updater.
Bild: Microsoft
Microsoft am Dienstag bestätigte einige erste Infektionen in der Petya ransomware Angriffe über die Ukraine-basierten tax-accounting-software-Firma M.E.Doc entwickelt MEDoc.
Der Fund löst einen Teil des Geheimnis um den gestrigen riesige ransomware-Ausbruch, der Treffer Branchenriesen wie Versand-Firma Maersk, sondern nahm besonders stark Maut auf Organisationen in der Ukraine, darunter Banken, Energie-Unternehmen und sogar Kiew-main-Flughafen.
Sicherheits-Forscher spekuliert, eine beschädigte MEDoc updater war die erste Infektion Vektor. Allerdings Microsoft jetzt sagt, es hat solide Beweise dafür, dass zumindest einige Infektionen wurden aufgrund eines software-supply-chain-Angriff begann mit einem legitimen MEDoc updater-Prozess.
“Obwohl dieser Vektor wurde spekuliert, bei der Länge von Medien und Sicherheits-Forscher-darunter der Ukraine, die eigenen Cyber-Police-es gab nur Indizien, die für diesen Vektor. Microsoft hat jetzt Beweise dafür, dass ein paar aktive Infektionen der ransomware zunächst begann der legitimen MEDoc updater Prozess,” Microsoft sagte,.
Seine Telemetrie-Daten zeigt, dass bei rund 10:30 Uhr GMT die MEDoc software updater “EzVit.exe” Ausführung einer bösartigen command-line C:\Windows\system32\rundll32.exe” “C:\ProgramData\perfc.dat”,#1 30. Es gibt auch ein Diagramm, Detaillierung der Kette, führt zu der ransomware-Infektion.
Das Unternehmen hat vor kurzem eine detaillierte ähnlich updater Angriff auf high-profile-tech-und Finanz-Unternehmen.
Microsoft sagt, dass von 12.500 Maschinen in der Ukraine ausgesetzt wurden, um die Bedrohung gestern. Es auch beobachtet, Infektionen in 64 Ländern, darunter Belgien, Brasilien, Deutschland, Russland und den USA. Laut Kaspersky-Lab-Daten, die meisten Infektionen traten in der Ukraine.
Es gibt eine Debatte über genau das, was Sie zum aufrufen dieser ransomware. Zunächst dachte man, dass die malware wurde ein Stamm bekannt als Petya. Jedoch Kaspersky Lab berichtet, dass es war anders genug, um seinen eigenen Namen. Microsoft sagt, es teilt ähnliche code zu Petya, ist aber “anspruchsvoller”.
Als Microsoft notes, die malware hat mehrere seitliche Bewegung-Techniken, die es ermöglicht, die Ausbreitung auf ein Netzwerk, wenn es infiziert nur einmal die Maschine. Neben der Verwendung der SMB-Sicherheitslücken als WannaCry hat, es verfügt auch über eine Berechtigung-dumping tool, um Ziel-Passwort Wiederverwendung und aktiven Sitzungen auf mehrere Maschinen.
TheShadowBrokers, die Hacker-Gruppe, die durchgesickert die EternalBlue exploit verwendet WannaCry und jetzt ist Petra wieder aufgetaucht im Zuge der gestrigen Petya ransomware-Ausbruch.
Wie es nach WannaCry, der rant anfällig für hacker-Gruppe ist das Reiten auf news von der Petya/NotPetya ransomware zu fördern. Juli “dump des Monats”, die kostet deutlich mehr als die $23,000 es berechnet für die Juni-dump.
Der Konzern details zu seinem Angebot in einem neuen post auf Steemit, behauptet, seine Juni-dump service war “großer Erfolg für theshadowbrokers”, die schon “viele Abonnenten”. Denn dieser vermeintliche Erfolg, den Preis seiner Juli-dump-200 Zcash das doppelte der Menge, die in dem genannten kryptogeld seiner Juni-Angebot, sondern konvertiert zu $65,000 bei den heutigen Wechselkursen.
Die Gruppe förderte seinen Juni-dump Mitte Mai, ein paar Tage nach der WannaCry Ausbruch. Einen Monat früher gedumpten mehrere hacking-tools, von denen zwei, EternalBlue und DoublePulsar, die verwendet wurden, zu verbreiten WannaCry.
Gestern Petya ransomware-Ausbruch verwendet EternalBlue und EternalRomance. Die tools wurden entwickelt von EquationGroup, die vermutlich die Hacker-Einheit der NSA.
Die Gruppe hat nicht gesagt, was es können unter anderem in der Juli-dump. Es versprach eine Reihe von potenziell gefährlichen Werkzeuge in der Juni-dump, einschließlich exploits für Browser, Router und mobile Geräte, sowie exploits für Windows 10, gehackt Netzwerk Daten von SWIFT-Anbieter, und die nukleare und Raketen-Programme, die von Russland, China, Iran und Nordkorea.
Waren sich die Forscher uneins, ob Sie zahlen für ein Abonnement. Co-Gründer der Sicherheitsfirma HackerHouse Matthew Hickey versucht, crowd-Fonds ein Abo, damit patches entwickelt werden könnten, aber später Dosen der plan aufgrund der rechtlichen Risiken, die Zahlung einer kriminellen Gruppe für die exploits und manipulierte Daten.
TheShadowBrokers nicht nehmen Kredit für das gestrige Ausbruch, aber stellt fest, es war ein “passendes Ende” für den ersten Monat Ihrer dump-Dienst, der folgte seinem scheitern Versuch, Sie zu versteigern Angriffs-tools, entwickelt von EquationGroup.
Es ist auch damit zu dox eine person, die er bezeichnet als “Arzt”, der die Gruppe denkt, ist ein ehemaliger EquationGroup Mitglied. Das offensichtliche Ziel, die Bedrohung, @DrWolff auf Twitter, hat bestritten, jemals Teil EquationGroup.
Mehr auf Sicherheit
WannaCry: Der intelligente person ‘ s guide [TechRepublic]Nach WannaCry, ransomware wird noch schlimmer, bevor es wieder betterWannaCry ransomware Opfer: Ihre lokale corner store [CNET]Trotz Sicherheitsrisiken, die von älteren Windows-Versionen Pest Tausende von businessesLeaked NSA hacking exploit verwendet in WannaCry ransomware ist jetzt einschalten Trojaner-malware
0