0
Microsoft har detaljerade infektionen kedjan från äventyras MEDoc updater.
Bild: Microsoft
Microsoft på tisdagen bekräftade några inledande infektioner i Petya ransomware attacker skett via Ukraina-baserade skatt accounting software fast M.E.Doc som utvecklar Gruppen.
Hitta löser en del av mysteriet kring gårdagens stora ransomware utbrott som drabbade industrin jättar som transportföretag Maersk, men tog en särskilt tungt vägtull på organisationer i Ukraina, inklusive banker, energibolag och även Kievs största flygplats.
Säkerhet forskare spekulerat en skadad MEDoc updater var den ursprungliga infektionen vektor. Dock har Microsoft nu säger att det har solida bevis för att åtminstone vissa infektioner på grund av en mjukvara för supply-chain attack som började med ett legitimt MEDoc updater processen.
“Även om denna vektor har spekulerats länge av nyhetsmedier och säkerhet forskare-inklusive Ukrainas egen It-Polisen-det var bara indicier för denna vektor. Microsoft har nu bevis för att några aktiva infektioner av ransomware började först från den legitima MEDoc updater process”, säger Microsoft.
Dess telemetri data visar att runt 10:30 GMT MEDoc software updater “EzVit.exe” som genomförs på ett skadligt kommando-raden C:\Windows\system32\rundll32.exe” “C:\ProgramData\perfc.dat”,#1 30. Det är också ett diagram som beskriver den kedja som leder till ransomware infektion.
Företaget nyligen detaljerad ett liknande updater attack mot high-tech profil och finansiella företag.
Microsofts säger 12,500 maskiner i Ukraina utsattes för hot i går. Det påpekas också infektioner i 64 länder, däribland Belgien, Brasilien, Tyskland, Ryssland och USA. Enligt Kaspersky Lab: s uppgifter, de flesta infektioner som inträffade i Ukraina.
Det finns en del debatt om exakt vad man ska kalla denna ransomware. Från början var det tänkt att det skadliga programmet var en stam som kallas Petya. Det är dock Kaspersky Lab rapporterade att det var tillräckligt olika för att motivera sitt eget namn. Microsoft säger att det aktier liknande kod för att Petya men är “mer sofistikerade”.
Som Microsoft anteckningar, malware har flera sidled tekniker, som gör det möjligt att sprida på ett nätverk om det smittar bara när maskinen. Förutom att använda SMB sårbarheter som WannaCry gjorde, det har också en referens till dumpning av verktyg för att rikta lösenord återanvändning och aktiva sessioner på flera maskiner.
TheShadowBrokers, hacka gruppen som läckt EternalBlue utnyttja används av WannaCry och nu Petra, återuppstått i kölvattnet av gårdagens Petya ransomware utbrott.
Som det gjorde efter WannaCry, rant-benägen hacker grupp som rider på nyheter av Petya/NotPetya ransomware att främja dess juli “dumpa av månaden”, som kommer att kosta betydligt mer än 23.000 sek det laddat för juni dumpa.
Koncernen detaljer sitt erbjudande i ett nytt inlägg på Steemit, hävdar dess juni dumpa service var “att vara en stor framgång för theshadowbrokers” som hade “många abonnenter”. På grund av detta ska lyckas, priset för dess juli dumpa kommer att vara 200 Zcash, vilket är en fördubbling i sa cryptocurrency av juni har att erbjuda, men konverterar till $65.000 på dagens valutakurser.
Gruppen främjar dess juni dumpa i mitten av Maj, några dagar efter WannaCry utbrott. En månad tidigare, den dumpade flera hacking verktyg, av vilka två, EternalBlue och DoublePulsar, användes för att sprida WannaCry.
Gårdagens Petya ransomware utbrott använder EternalBlue och EternalRomance. De verktyg som har utvecklats av EquationGroup, som tros vara hacka enheten för NSA.
Koncernen har inte sagt vad det kan omfatta i juli dumpa. Det utlovas en rad potentiellt farliga verktyg i juni soptippen, inklusive bedrifter för webbläsare, routrar och mobila enheter, samt utnyttjar för Windows 10, hackade nätverk uppgifterna från SWIFT leverantörer och kärnvapen och missiler program i Ryssland, Kina, Iran och Nordkorea.
Forskarna oeniga om att betala för en prenumeration. Grundare av säkerhetsföretaget HackerHouse Matthew Hickey försökt att publiken-fonden en prenumeration så patchar skulle kunna utvecklas, men senare på burk planen på grund av de juridiska riskerna för att betala en kriminell grupp för bedrifter och äventyras data.
TheShadowBrokers inte ta credit för gårdagens utbrott, men konstaterar att det var en “passande slut” för den första månaden av sin dumpa service, som följt sin misslyckas försök att auktionen attack verktyg som utvecklats av EquationGroup.
Det är också hotat att dox en person som det refererar till som “läkare” som gruppen tycker är en före detta EquationGroup medlem. Den uppenbara målet om att hot, @DrWolff på Twitter, har förnekat att någonsin vara en del av EquationGroup.
Mer om säkerhet
WannaCry: smart person ‘ s guide [TechRepublic]Efter WannaCry, ransomware kommer att bli värre innan det blir betterWannaCry ransomware är verkliga offer: Din lokala närbutik [MAG]Trots säkerhetsrisker, äldre Windows-versioner plåga tusentals businessesLeaked NSA hacka utnyttja används i WannaCry ransomware är nu att driva Trojan malware
0