Ransomware angreb op deres spil _ og krav om løsepenge
Den gennemsnitlige løsesum efterspørgsel er op til næsten $13,000, sammenlignet med $6,700 bare et par måneder siden.
En ransomware gang har overtrådt infrastruktur på mindst tre managed service providers (Msp) og har brugt remote management værktøjer på deres dispossal, nemlig Webroot SecureAnywhere konsol, til at indsætte ransomware på Msp’ kunder systemer.
Ransomware infektioner blev rapporteret første gang i dag i en Reddit sektion dedikeret til Msp ‘ er — virksomheder, der giver remote IT service og support til virksomheder i hele verden.
Kyle Hanslovan, medstifter og CEO for Huntress Lab, var online, og hjulpet nogle af de påvirket Msp undersøge hændelser.
Hackere fik i via RDP
Hanslovan sagde hackere overtrådt Msp ‘ er via udsat RDP (Remote Desktop Endpoints), forhøjede privilegier i kompromitterede systemer, og manuelt fjernet AV-produkter, såsom ESET og Webroot.
I den næste fase af angrebet, hackere søgte regnskaber for Webroot SecureAnywhere, remote management software (konsol), der anvendes af Msp ‘ er til at styre på afstand-beliggende arbejdsstationer (i nettet af deres kunder).
Ifølge Hanslovan, hackere brugte console for at udføre en Powershell script på eksterne arbejdsstationer, script, som du har hentet og installeret den Sodinokibi ransomware.
The Huntress Lab CEO sagde, at mindst tre Msp ‘ er var blevet hacket på denne måde. Nogle Reddit brugere rapporterede også, at i nogle tilfælde, hackere kan også anvendt Kaseya VSA remote management console, men det blev aldrig officielt bekræftet.
“To virksomheder, der er nævnt kun de værter, der kører Webroot var smittet,” Hanslovan sagde. “I betragtning af Webroot’ s management console gør det muligt for administratorer til eksternt at downloade og køre filer, der er til endepunkter, dette virker som en plausibel angreb.”
Webroot udsender 2FA for SecureAnywhere konti
Senere på dagen, og Webroot begyndte tvang, så to-faktor-autentificering (2FA) for SecureAnywhere konti, ifølge en e-mail Hanslovan modtaget, i håb om at forhindre hackere i at bruge andre potentielt kapret konti til at implementere ny ransomware hele dagen.
SecureAnywhere understøtter 2FA, men funktionen er ikke aktiveret som standard.
Billede: Kyle Hanslovan
Den Sodinokibi ransomware er et relativt nyt ransomware stamme, der blev opdaget i slutningen af April. På det tidspunkt, en trussel skuespiller var ved hjælp af en Oracle WebLogic nul-dag til at hacke ind på virksomhedens netværk og installere den ransomware.
Dagens hændelse er også den anden store bølge af angreb i løbet, som hackere misbrugt Msp ‘ er og deres remote management værktøjer til at implementere ransomware på deres kunders netværk.
Den første hændelse, der skete i midten af februar, når en hacker-gruppen, der anvendes sårbarheder i almindeligt anvendte MSP værktøjer til at implementere den GandCrab ransomware på kunders arbejdsstationer.
Tilfældigvis, på det tidspunkt denne hændelse blev beskrevet på Reddit, lokale medier i Rumænien var en rapportering, der er fem hospitaler var blevet inficeret med ransomware i Bukarest, landets hovedstad. Der er dog ingen beviser for, at de to begivenheder er kædet sammen, uden infektion tidsramme.
Relaterede malware og it-kriminalitet dækning:
Nye Echobot malware er et smorgasbord af vulnerabilitiesFlorida city betaler $600.000 til ransomware gang at have sine data backRussian APT hacket Iranske APT ‘ s infrastruktur tilbage i 2017Mysterious Iranske gruppe er hacking ind i DNA sequencersNew Plurox malware er en bagdør, cryptominer, og orm, alt sammen pakket ind i oneMicrosoft advarer Azure kunder af Exim orm Mere end 3B falske e-mails, der sendes dagligt som phishing-angreb fortsætter TechRepublicGame of Thrones er den mest malware af enhver piratkopierede TV-show CNET
Relaterede Emner:
Virksomhedens Software
Sikkerhed-TV
Data Management
CXO
Datacentre