Zero
Stabilito botnet e worm malware variante è impegnato in una nuova campagna progettato per infettare l’impresa con GandCrab ransomware.
Phorpiex/Trik non sofisticato. Da non confondere con il TrickBot banking Trojan, malware — scoperto nel 2016, è stato rintracciato in questi ultimi anni, come un distributore di payload dannosi tra cui GandCrab, Pushdo, Pony, e cryptocurrency di data mining malware.
Il malware si concentra su infettare i dispositivi Windows e tentativi di propagare attraverso le unità USB di memorizzazione rimovibili e spam.
“Phorpiex come una famiglia di malware che è stato intorno per diversi anni e non è cambiato molto in proposito, la funzionalità, o codice,” i ricercatori Inchiesta dire. “Il malware non è incredibilmente avanzata, ha una minima tecniche di evasione, spesso non è al sacco durante il parto, e non è molto sottile quando si tratta di rilasciare i file sul disco o l’utilizzo di hard-coded stringhe dove più avanzate famiglie di malware sarebbe utilizzando randomizzati caratteri.”
A maggio hanno cambiato in molti anni, ma i ricercatori di sicurezza di SecurityScorecard hanno scoperto una nuova variante del malware che si concentra sulla distribuzione di ransomware contro le organizzazioni in tutto il mondo.
La variante in questione è stata data la possibilità ai Pc di destinazione, e i punti terminali di reti aziendali che sono operativi lato server di accesso remoto di applicazioni con mal implementati i protocolli.
“Con un numero crescente di aziende che offrono remoto-possibilità di lavoro per i propri dipendenti, molte aziende endpoint può essere l’esecuzione di queste applicazioni,” ha detto la società.
Phorpiex/Trik effettuerà una scansione del web per Internet Remote Desktop Protocol (RDP) e Virtual Network Computing (VNC) endpoint, tramite la porta 5900. In ordine casuale, questi endpoint sono quindi mirati con brute-force attack”.
La botnet prove di un numero di debole combinazioni di utente e password, tra cui “12345678”, di “admin”, “qwerty”, “la servidor” e “vnc123.” Se debole credenziali sono in uso e i protocolli sono stati scarsamente attuata, la botnet si infiltrarsi nel sistema e utilizzare l’endpoint come un mezzo per installare malware su reti aziendali.
In un’intervista a ZDNet, Paolo Gagliardi, direttore di intelligence sulle minacce a SecurityScorecard ha detto che il ransomware al centro della nuova campagna è GandCrab, particolarmente virulenta forma di ransomware che ha provocato decine di migliaia di vittime in tutto il mondo.
Una volta che questo ransomware ceppo ha infettato un sistema, i file vengono crittografati e le vittime sono costrette a pagare riscatti di qualsiasi cosa, da un paio di centinaia di dollari a diverse migliaia di euro.
Questa settimana, la versione 5 di ransomware è stato rilasciato il quale chiede il pagamento in Dash o Bitcoin cryptocurrencies. Tuttavia, il Phorpiex/Trik campagna sembra essere la diffusione versione 4 alla presente.
Continua a leggere: Rimuovere le infezioni ransomware dal PC utilizzando questi strumenti gratuiti | Hit da ransomware? Questo nuovo libero strumento di crittografia per GandCrab potrebbe aiutare
Al fine di monitorare la variante, le valutazioni di sicurezza azienda ha creato un numero di doline basato su inattivo Phorpiex domini. Il team ha anche stabilito honeypot, fingeva di dispositivi infetti e chiedendo istruzioni di comando e controllo (C2) server.
In totale, da 68.000 indirizzi IP unici sono stati rilevati come infetti con Phorpiex/Trik, ma Gagliardi dice che questa è solo una “piccola percentuale” associati con la botnet.
CNET: Nuovo ransomware può trasformare il vostro computer in un hacker strumento
Il ricercatore di sicurezza ha detto che la distribuzione di ransomware è un’interessante per questa botnet come questo può essere considerato simile a “soffiare la loro copertura” su reti aziendali. Dopo tutto, come ransomware in genere blocca il computer, sistemi di crittografia di file e richiede un pagamento, è “evidente che erano lì” come una minaccia attore.
TechRepublic: Ransomware: Un cheat sheet per i professionisti
Tuttavia, ci sono alcune prove che suggeriscono che gli operatori dietro il regime di essere un po ‘ selettivi nella loro obiettivi, con una particolare attenzione generale sui paesi che sono “finanziariamente”.
Stati Uniti, Canada, Giappone e Australia sono tra quelli più comunemente mirati.
Tuttavia, gli operatori non sono considerati molto sofisticati nei loro metodi o tattiche, e così spear phishing sostenuta da ingegneria sociale o attacchi concentrati su specifiche entità non sembra essere in atto.
Potrebbe essere solo una congettura, ma Gagliardi ha suggerito che è possibile che la botnet infrastruttura viene affittato — o in parte venduto — per i responsabili di ransomware e altri attacchi informatici.
Vedi anche: la Donna si dichiara colpevole, per l’hacking di polizia telecamere di sorveglianza
Al fine di mitigare la minaccia di infezione, Gagliardi consiglia alle aziende di mantenere un livello adeguato di sicurezza, di igiene e di mantenere un decente standard di sicurezza per i dispositivi endpoint.
“Non si deve avere un server VNC Internet rivolto a tutti, ma vediamo migliaia di implementazioni per tutto il tempo,” Gagliardi. “Queste non sono super sofisticato attori e quindi, se non è possibile rimanere in cima di loro, probabilmente hanno altri problemi di sicurezza.”
Precedente e relativa copertura
Soddisfare ransomware che indossa il volto dell’ex presidente Barack Obama Nigelthorn malware ruba Facebook credenziali, le miniere di cryptocurrency Open-source vulnerabilità peste enterprise codebase sistemi
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0