Hacken regeling te stelen universitair onderzoek voor militaire toepassingen terug te voeren naar China
Prominente namen hebben op het hacken van de lijst.
Varianten van LockerGoga, een vorm van ransomware die zich richt op industriële systemen, hebben ontdekt in welk losgeld betalingen lijken een bijzaak in plaats van de malware ware doel.
De malware werd onlangs ontdekt in het hart van een aanval plaats tegen Norsk Hydro. De aluminium producent besmet geraakt met een druk van de malware die vergrendeld zijn systemen en eiste een ransomware betaling; een vraag die niet werd voldaan.
In plaats daarvan, Norsk Hydro, riep om hulp en Microsoft, onder andere IT-leveranciers, beantwoord.
Echter, het bedrijf is nog steeds gedwongen om over te schakelen naar handmatige processen en kan geen toegang tot de orders van klanten tot back-ups waren hersteld.
LockerGoga is een van de vele vormen van malware in het wild dat heeft aangevallen industriële systemen. Een andere familie van de nota is Industroyer, malware die ESET zegt is “speciaal ontworpen om een aanval op de power grid” en was verantwoordelijk voor de tijdelijke sluiting van het elektriciteitsnet in Kiev, de Oekraïne, in 2016.
Volgens onderzoekers van de Securonix Threat Research team, LockerGoga varianten hebben een glimp op te vangen van de malware mogelijkheden — evenals een aantal vreemde programmering elementen die ervoor kunnen zorgen dat het betalen van een losgeld moeilijker.
In een blog post op dinsdag, Securonix een gedetailleerd rapport gepubliceerd over de mogelijkheden van LockerGoga stammen actief vandaag.
De infectie vector van LockerGoga is niet geverifieerd, maar zoals in veel gevallen van business compromis, is het waarschijnlijk dat phishing-berichten vertegenwoordigen de eerste fase. De onderzoekers zeggen dat Microsoft Word-of RTF-documenten met ingesloten schadelijke macro ‘ s zijn vermoedelijke daders.
Payloads zijn ondertekend met een geldig certificaat waarmee de bypass van traditionele beveiligingsproducten. De dreiging acteurs achter de ransomware gebruik van meerdere certificate authorities (ca ‘ s) ondertekenen de software uit — Alisa Ltd., Kitty Ltd., Sectigo, en Mikl Beperkt — en sommige varianten van de malware zijn uitgerust met taskkill mogelijkheden om te schakelen antivirus systemen. Anderen, daarnaast zijn in staat om te verwijderen Windows-processen.
Zie ook: Georgia Tech onthult data inbreuk, 1,3 miljoen records blootgesteld
Nadat het systeem is geïnfecteerd met LockerGoga, sommige varianten zal verplaatsen van de lading rond netwerken met behulp van de Microsoft Server Message Block (SMB) protocol, terwijl anderen zijn waargenomen met behulp van Active Directory management services voor dezelfde doeleinden.
“De meest waarschijnlijke aanval progressie [is] dat een eerste compromis werd gevolgd door handmatige operator plaatsing en aanpassing van één van de bestaande logon script items in de map Netlogon op een ADVERTENTIE resource […], waardoor de binaire
automatisch doorgeven en worden uitgevoerd door de gebruikers binnen de organisatie tijdens een sessie,” Securonix zegt. “Het is ook mogelijk dat de dreiging met actoren gemaakt van een nieuwe logon script en voegde een nieuwe aanmelding GPO toegang tot het uitvoeren van de binaire op alle systemen voor het toepassen van het aanmeldingsscript voor de organisatie-eenheid of de complete organisatie.”
Anti virtuele machine (VM) en de sandbox-ontduiking technieken, zij het primitieve, zijn er ook in spelen.
De malware dan begint zijn werk. LockerGoga richt zich op het coderen van bestanden met populaire extensies inclusief .doc, .xml .ppt-en .pdf met behulp van 256-bits AES-sleutels. De extensie *.VERGRENDELD wordt gebruikt.
De hoofdlijnen van de malware te infecteren en te coderen. Echter, sommige LockerGoga varianten hebben een vreemde eigenaardigheid dat kan het moeilijker maken voor de slachtoffers tot het betalen van het losgeld eisen.
In sommige stammen, de malware zal veranderen administrator wachtwoorden en login slachtoffers uit hun systeem te gebruiken logoff.exe.
“Dit geeft aan dat de aanvallers de doelstellingen hebben opgenomen aanvullende doelen die geen deel uitmaken van een traditionele ransomware modus operandi, zoals cybersabotage” het team zegt.
TechRepublic: Hoe SSH gebruiken als een VPN met sshuttle
Het nemen van beneden kern, essentiële diensten kan catastrofale real-world gevolgen, en dergelijke verstoring kan een verleidelijk lokken voor dreigingen. Het lijkt erop dat in LockerGoga het geval is, kunnen we waarschijnlijk meer voorbeelden zien van de malware in het wild gezien FIN6 de beslissing om te starten met de implementatie van Ryuk en LockerGoga ransomware stammen op de netwerken van besmette bedrijven.
CNET: Wyze Cam ‘ s nieuwe vriend: De $20 Wyze Zin security kit
Oleg Kolesnikov, Directeur van Bedreiging Onderzoek op Securonix vertelde ZDNet:
“Een van de redenen dat LockerGoga was zo sterk in het Norsk Hydro aanval was de schaal. Het besmet meerdere systemen door middel van het kopiëren naar de gedeelde map en de daaropvolgende laterale beweging, die de hele organisatie.
Deze zijwaartse beweging is een techniek die nog niet vaak gebruikt in andere aanvallen, dus het is niet iets dat bedrijven worden gebruikt voor het opsporen van voor, maar dient te worden opgenomen in protocollen voor de toekomst detectie.”
Vorige en aanverwante dekking
Farmaceutische gigant Bayer doelwit van cyberaanval, bedreiging ‘opgenomen’
Een dozijn ONS web servers van het verspreiden van 10 malware families, Necurs link verdacht
Google ‘ s Project Zero onthult zero-day macOS kwetsbaarheid voor het publiek
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters