Hacking schema di rubare università di ricerca per le applicazioni militari di risalire alla Cina
Nomi di spicco funzione di hacking elenco.
Varianti di LockerGoga, una forma di ransomware che gli obiettivi di impianti industriali, sono stati scoperti in cui i pagamenti di riscatto sembra essere un ripensamento, piuttosto che il malware è vero scopo.
Il malware è stato rilevato di recente al centro di un attacco prendendo posizione contro Norsk Hydro. Il produttore di alluminio è diventato infettati con un ceppo di malware che chiuse i suoi sistemi e richiesto un ransomware di pagamento; una domanda che non è stata soddisfatta.
Invece, Norsk Hydro chiamato fuori per aiutare e Microsoft, tra l’altro È di fornitori, rispose.
Tuttavia, la società è stata ancora costretti a passare a processi manuali e non poteva accedere gli ordini del cliente fino a che i backup sono stati ripristinati.
LockerGoga è una delle tante forme di malware in natura, che ha attaccato i sistemi industriali. Un’altra famiglia di nota è Industroyer, malware che ESET dice che è “specificamente progettato per attaccare la griglia di potere” ed è stato responsabile per la temporanea chiusura della griglia di potere a Kiev, in Ucraina, nel 2016.
Secondo i ricercatori il Securonix Minaccia team di Ricerca, LockerGoga varianti hanno fornito un assaggio del malware capacità-così come alcuni strani elementi di programmazione che può fare pagare un riscatto più difficile.
In un post sul blog martedì, Securonix pubblicato un rapporto dettagliato sulle capacità di LockerGoga ceppi attivi oggi.
Il vettore d’infezione di LockerGoga non è stato verificato, ma come in molti casi di business compromesso, è probabile che i messaggi di phishing rappresentano la fase iniziale. I ricercatori dicono che Microsoft Word o RTF contenente documenti incorporati, macro dannose sono sospetti colpevoli.
I carichi utili sono firmato con certificati validi che permettono di bypassare i prodotti di sicurezza tradizionali. La minaccia attori dietro le ransomware utilizzare più autorità di certificazione (Ca) per firmare il software off-Alisa Ltd., Kitty Ltd., Sectigo, e Mikl Limitato, e alcune varianti del malware sono stati dotati di taskkill capacità, al fine di disattivare l’antivirus sistemi. Altri, inoltre, sono in grado di eliminare i processi di Windows.
Vedi anche: Georgia Tech rivela violazione dei dati, 1,3 milioni di record esposti
Una volta che il sistema è infettato con LockerGoga, alcune varianti, spostare il carico utile intorno reti utilizzando Microsoft Server Message Block (SMB), il protocollo, mentre altri sono stati osservati utilizzando Active Directory gestione dei servizi per le medesime finalità.
“L’attacco più probabile progressione [è] un primo compromesso è stato seguito da manuale operatore di collocamento e di modifica di uno script di accesso esistente voci in Netlogon directory su un ANNUNCIO di risorse […], che ha permesso al binario di
propagare automaticamente e essere eseguiti dagli utenti all’interno dell’organizzazione durante una sessione di accesso,” Securonix dice. “È anche possibile che la minaccia attori hanno creato un nuovo script di accesso e aggiunto un accesso nuovo oggetto criteri di gruppo voce per eseguire il binario su tutti i sistemi di applicare lo script di accesso all’unità organizzativa o l’intera organizzazione.”
Anti macchina virtuale (VM) e sandbox tecniche di evasione, seppur primitiva, anche nel gioco.
Il malware si comincia il suo lavoro. LockerGoga si concentra sulla crittografia di file con estensioni popolari tra .doc, .xml, .ppt,.pdf utilizzando la crittografia AES-256 chiavi. L’estensione *.BLOCCATO è utilizzato.
La spinta principale del malware è quello di infettare e di crittografia. Tuttavia, alcuni LockerGoga varianti hanno uno strano capriccio che può rendere più difficile per le vittime a pagare la loro richiesta di riscatto.
In alcuni ceppi, il malware cambia password di amministratore e del registro vittime loro sistema utilizzando logoff.exe.
“Questo indica che gli obiettivi siano stati inclusi tra gli ulteriori obiettivi che non sono parte di una tradizionale ransomware modus operandi, come cybersabotage,” il team dice.
TechRepublic: Come usare SSH come una VPN con sshuttle
Tenendo premuto core, critiche, servizi di catastrofico reali conseguenze, e tale rottura può essere un buon richiamo per minaccia attori. Sembra che in LockerGoga caso, è più probabile vedere più esempi di malware in natura dato FIN6 decisione di avviare la distribuzione di Ryuk e LockerGoga ransomware ceppi sulle reti di compromesso aziende.
CNET: Wyze Cam nuovo amico: $20 Wyze Senso di sicurezza kit
Oleg Kolesnikov, Direttore di Ricerca sulle Minacce a Securonix detto a ZDNet:
“Uno dei motivi che LockerGoga era forte impatto nel Norsk Hydro attacco era la sua scala. Si infetta di più sistemi, attraverso la copia della directory condivisa e successive movimento laterale, che interessano l’intera organizzazione.
Questo movimento laterale è una tecnica che non è stato usato comunemente in altri attacchi, quindi non è una cosa che le aziende sono utilizzati per la rilevazione, ma devono essere inclusi in protocolli per il futuro di rilevamento.”
Precedente e relativa copertura
Colosso farmaceutico Bayer di mira da un attacco cibernetico, minaccia di ‘contenuti’
Una dozzina di NOI il server web si stanno diffondendo 10 famiglie di malware, Necurs link sospetti
Google Project Zero rivela zero-day macOS vulnerabilità al pubblico
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati