Il RansomWare e il codice Binario, RansomWare Concetto di Protezione e di attacco di Malware.
Nawadoln, Getty Images/iStockphoto
×
ransomware.jpg
Un gruppo sportivo conosciuto principalmente per l’hacking rivenditori e rubare i dati della carta di pagamento da point-of-sale (POS) sistemi ha cambiato tattica, ed è ora anche la distribuzione di ransomware infetti reti.
Il gruppo, denominato FIN6-ha una buona reputazione nel settore della cyber-security campo per essere uno della più avanzata di cyber-criminali di gruppi in tutto.
Le sue attività sono stati documentati per la prima volta nella primavera del 2016, quando FireEye ha pubblicato un primo rapporto che dettaglia la sua vasta hack e avanzato arsenale.
Al momento, il gruppo ha sviluppato un versatile POS malware nome del ceppo Trinità (aka FrameworkPOS). FIN6 sarebbe hackerare le reti di rivenditori principali, spostare lateralmente attraverso i loro sistemi, e distribuire Trinità sul computer che ha gestito POS di dati per estrarre dati della carta di pagamento che avrebbero poi caricare sul proprio server.
Il gruppo di fare soldi con la vendita di questi rubato i dati della carta di pagamento sul forum di hacking, facendo milioni di dollari lungo la strada.
PINNA: Distribuzione ransomware dal luglio 2018
Ma secondo un nuovo rapporto pubblicato venerdì, 5 aprile, da FireEye, il gruppo è oggi anche la distribuzione di ransomware su alcuni dei hacked delle reti su coloro che non gestiscono i dati POS.
E il gruppo non è stato eliminazione di qualsiasi tipo di ransomware. Secondo FireEye, dal mese di luglio 2018, il gruppo è stata la distribuzione del Ryuk e LockerGoga ransomware ceppi.
Entrambi questi ceppi sono stati al centro di un’ondata di alto profilo infezioni che hanno paralizzato le agenzie governative e grandi aziende del settore privato che di piacere –con l’ultima vittima Norsk Hydro.
Analista di Kaspersky dice LockerGoga può essere collegato a Grim Spider (creatori di Ryuk ransomware) https://t.co/YimPkGUYic
— Catalin Cimpanu (@campuscodi) il 28 Marzo 2019
Secondo i rapporti precedenti da CrowdStrike, FireEye, Kryptos Logica, McAfee, IBM, e Cybereason, il gruppo si crede di essere operante al di fuori della Russia, da dove si affitta l’infrastruttura di altri gruppi (Emotet e TrickBot) per la ricerca di grandi aziende, che sarebbe poi infettare con il Trinity, Ryuk, o LockerGoga.
Immagine: Kryptos Logica
×
ryuk-flusso di lavoro.png
È FIN6 ora un ransomware-primo gruppo?
Nella sua più recente relazione sul FIN6, FireEye individuato e messo in evidenza questo cambiamento di tattica –da Trinità a Ryuk/LockerGoga.
Tuttavia, gli analisti dell’azienda non poteva dire con certezza se questo è ora il gruppo principale modus operandi, o se questo è solo un lato-attività svolta da alcuni membri del gruppo “indipendentemente dal gruppo di carte di pagamento violazioni.”
Ma a prescindere se FIN6 ora è un ransomware-primo gruppo, o non, delle aziende e la loro sicurezza informatica uffici hanno bisogno di prestare attenzione a questo nuovo sviluppo, leggere le recenti FireEye rapporto che dettaglia il gruppo operativo tacticts, e migliorare la loro capacità di rilevamento, di conseguenza, come qualsiasi avvistamento di alcuni particolari strumenti, può anche indicare la presenza di questa minaccia attore in rete di un’azienda.
Terzo, concentrandosi sulla rilevazione di strumenti comunemente usati come Metasploit, Cobalto Sciopero, e l’Impero — e tattiche, come codificato script di PowerShell o RDP di account di accesso con keylength:0 — è un must. Si scoop di una pluralità di attori, in questo modo. Super importante quando gli attori si stanno cercando nuovi payload.
— PaulM (@pmelson) 5 aprile 2019
Correlati malware e attacchi informatici di copertura:
Oltre 58.000 utenti Android erano stalkerware installato sul proprio telefono la scorsa yearTrickBot Troia in cerca di deboli legami umani in business per trarre profitto dalle imposte seasonIoT botnet targeting per la tua impresa? Nope. Solo un ragazzo con un ExploitDB accountBashlite IoT malware aggiornamento consente di destinazione WeMo home automation devicesFacebook chiude gruppi di offerta di phishing servizi, violato i dati per saleHacker gruppo è stato il dirottamento del traffico DNS sul router D-Link, per tre mesi, Come le Nazioni Unite, aiuta a combattere la criminalità informatica globale TechRepublicApple rimosso popolare applicazione che è stato segretamente rubare la cronologia del browser CNET
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati