Hacka system att stjäla universitet forskning för militära tillämpningar spåras tillbaka till Kina
Framträdande namnen har på hacking listan.
Varianter av LockerGoga, en form av ransomware som mål industriella system, har upptäckts i vilken lösen betalningar verkar vara en eftertanke snarare än malware sanna syfte.
Det skadliga programmet var nyligen upptäckts i hjärtat av ett angrepp som sker mot Norsk Hydro. Aluminium producenten blev smittad med en stam av skadlig kod som låst sina system och krävde en ransomware betalning, en efterfrågan som inte var uppfyllt.
Istället, Norsk Hydro ropade på hjälp och Microsoft, bland andra IT-leverantörer, till orda.
Men företaget var fortfarande tvungen att byta till manuella processer och kunde inte komma åt kundernas order tills säkerhetskopior var återställd.
LockerGoga är en av många former av skadlig kod i det vilda som har angripit industriella system. En annan familj att notera är Industroyer, skadlig kod, som ESET säger är “speciellt utformad för att attackera power grid” och var ansvarig för den tillfälliga stängningen av elnätet i Kiev, Ukraina, i och med 2016.
Enligt forskare från Securonix Hot Research team, LockerGoga varianter har gett en inblick i den malware förmåga-samt några konstiga programmering faktorer som kan göra att betala en lösen mer svårt.
I ett blogginlägg på tisdag, Securonix publicerade en detaljerad rapport om de möjligheter LockerGoga stammar som är aktiva idag.
Infektionen vektor av LockerGoga har inte verifierats, men som i många fall av kompromiss, det är sannolikt att phishing-meddelanden utgör den första etappen. Forskarna säger att Microsoft Word-eller RTF-dokument som innehåller inbäddade, skadliga makron är misstänkta gärningsmännen.
Nyttolaster signerats med ett giltigt certifikat som gör det möjligt att kringgå traditionella säkerhetsprodukter. Hotet aktörer bakom ransomware använder flera certifikatutfärdare (ca) för att registrera programvaran off — Alisa Ltd., Kitty Ltd., Sectigo, och Mikl Begränsad — och vissa varianter av skadlig kod har varit utrustade med taskkill kapacitet för att inaktivera antivirus system. Andra, som dessutom har möjlighet att ta bort Windows-processer.
Se även: Georgia Tech avslöjar dataintrång, 1,3 miljoner poster utsatta
När ett system är infekterad med LockerGoga, vissa varianter kommer att flytta nyttolast kring nätverk, som använder Microsoft-Server Message Block (SMB) protokoll, medan andra har observerats med hjälp av Active Directory management tjänster för samma ändamål.
“Den mest troliga attacken progression [är] att en första kompromissen var följt av en manuell operatör placering och modifiering av en av de befintliga inloggningsskript poster i Netlogon-katalog på en ANNONS resurs […], som gjorde det binära till
automatiskt sprida och utföras av användare inom organisationen under en inloggningssession,” Securonix säger. “Det är också möjligt att hotet aktörer skapat en ny inloggningsskript och lagt till en ny inloggning GPO uppgift att utföra binär på alla de system som tillämpar inloggningsskript för den organisatoriska enhet eller hela organisationen.”
Anti-virtual machine (VM) och sandlåda skatteflykt, om än primitiva och kära, även i spel.
Malware sedan börjar sitt arbete. LockerGoga fokuserar på kryptera filer med populära inklusive tillägg .doc, .xml .ppt och .pdf med AES-256 nycklar. Filändelsen *.LÅST används.
Huvuddelen av skadlig kod är att infektera och kryptera. Men vissa LockerGoga varianter har en udda sarkasm, vilket kan göra det svårare för de drabbade att betala lösen efterfrågan.
I vissa stammar, malware kommer att ändra administratörens lösenord och logga offer av sina system med hjälp av logoff.exe.
“Detta tyder på att angriparna mål” kan ha andra mål som inte är en del av en traditionell ransomware modus operandi, som cybersabotage,” teamet säger.
TechRepublic: Hur att använda SSH som en VPN-med sshuttle
Ta ner kärna, kritiska tjänster kan få katastrofala verkliga konsekvenser, och sådana störningar kan vara en frestande lockbete för hot aktörer. Det verkar som att LockerGoga är fallet, kommer vi sannolikt att få se fler exempel av skadlig kod i naturen gett FIN6 beslut att börja distribuera både Ryuk och LockerGoga ransomware stammar på de nätverk av infekterade företag.
CNET: Wyze Cam ‘ s nya vän: $20 Wyze Känsla säkerhets-kit
Oleg Kolesnikov, Chef för Hot Forskning på Securonix berättade ZDNet:
“En av anledningarna till att LockerGoga var så slagkraftiga i Norsk Hydro attacken var dess omfattning. Det infekterade flera system genom att kopiera till den gemensamma katalogen och efterföljande rörelse i sidled påverkar hela organisationen.
Denna rörelse i sidled är en teknik som inte använts ofta i andra attacker så det är inte något som företag används för att upptäcka, men bör ingå i protokoll för framtida identifiering.”
Tidigare och relaterade täckning
Farmaceutiska jätten Bayer måltavla för cyberattack, hot ‘innehöll’
Ett dussin OSS webbservrar är att sprida 10 malware familjer, Necurs länk som misstänks
Googles Project Zero avslöjar zero-day macOS sårbarhet för allmänheten
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter