Attacchi Ransomware loro gioco _ richieste di riscatto
La media richiesta di riscatto fino a quasi 13.000 dollari, rispetto a $6,700 solo pochi mesi fa.
Un ransomware gang ha violato le infrastrutture di almeno tre fornitori di servizi gestiti (Msp) e ha utilizzato gli strumenti di gestione remota a loro dispossal, vale a dire la Webroot SecureAnywhere console, per distribuire ransomware in MSPs’ i clienti.
Le infezioni ransomware sono stati segnalati oggi in un Reddit sezione dedicata per gli Msp — le aziende che forniscono remoto, supporto e servizi IT per le aziende di tutto il mondo.
Kyle Hanslovan, co-fondatore e CEO di Cacciatrice di Laboratorio, è online e ha aiutato alcuni di impatto Msp indagare gli incidenti.
Hacker ha ottenuto in via RDP
Hanslovan detto hacker violato Msp via esposto RDP (Remote Desktop Endpoint), privilegi elevati all’interno di sistemi compromessi, e disinstallato manualmente i prodotti AV, come ESET e di Webroot.
Nella successiva fase di attacco, gli hacker hanno cercato conti per Webroot SecureAnywhere, il software di gestione remota (console) utilizzato da Msp di gestire in remoto postazioni (in rete dei loro clienti).
Secondo Hanslovan, gli hacker hanno usato la console per eseguire uno script di Powershell su postazioni remote; script scaricato e installato il Sodinokibi ransomware.
La Cacciatrice di Laboratorio CEO ha detto che almeno tre Campionamenti era stato violato in questo modo. Alcuni Reddit gli utenti, inoltre, segnalato che, in alcuni casi, gli hacker potrebbe anche aver usato il Kaseya VSA console di gestione remota, ma questo non è mai stato formalmente confermato.
“Due aziende di cui solo l’host che eseguono Webroot sono stati infettati,” Hanslovan detto. “Considerando Webroot management console consente agli amministratori remoto per scaricare ed eseguire il file di endpoint, questo mi sembra plausibile del vettore di attacco.”
Webroot distribuisce 2FA per SecureAnywhere conti
Nel corso della giornata, Webroot iniziato forzatamente autenticazione a due fattori (2FA) per SecureAnywhere conti, secondo un’email Hanslovan ricevuto, nella speranza di impedire agli hacker di utilizzare qualsiasi altro potenzialmente account compromessi per distribuire il nuovo ransomware per tutto il giorno.
SecureAnywhere supporta 2FA, ma la funzione non è abilitata per impostazione predefinita.
“Di recente, di Webroot Avanzata per la Rimozione di Malware team ha scoperto che un piccolo numero di clienti sono stati colpiti da una minaccia attore, sfruttando una combinazione di clienti debole cyber pratiche di igiene giro per l’autenticazione e la RDP,” Chad Bacher, SVP di Prodotti, WEBROOT, un Carbonite società, ha detto a ZDNet via e-mail.
“Per assicurare la migliore protezione per l’intera Webroot comunità di clienti, abbiamo deciso che è tempo di fare l’autenticazione a due fattori obbligatorio. Lo abbiamo fatto attraverso la conduzione di una console logout e di aggiornamento del software, la mattina del 20 giugno,” ha aggiunto.
“Sappiamo tutti che l’autenticazione a due fattori (2FA) è un cyber igiene best practice, e incoraggiamo i clienti a utilizzare il Webroot Console di Gestione integrato 2FA per qualche tempo. Siamo sempre a monitorare da vicino l’ambiente di minaccia, e continuerà a prendere misure proattive simile a questo per fornire la migliore protezione possibile per i clienti.”
Immagine: Kyle Hanslovan
Il Sodinokibi ransomware è un relativamente nuovo ransomware ceppo, scoperto alla fine di aprile. Al momento, una minaccia attore, utilizza Oracle WebLogic zero-day hack nella rete dell’azienda e di distribuire il ransomware.
Dell’incidente di oggi è anche la seconda grande ondata di attacchi durante il quale gli hacker abusato Msp e i loro strumenti di gestione remota per distribuire ransomware sulle loro reti per i clienti.
Il primo incidente è avvenuto a metà febbraio, quando un gruppo di hacker utilizzato vulnerabilità comunemente usati MSP strumenti per distribuire il GandCrab ransomware sul cliente e sulle postazioni di lavoro.
Guarda caso, al momento dell’incidente era dettagliate su Reddit, i media locali in Romania è stato segnalato che cinque ospedali erano stati infettati con il ransomware a Bucarest, la capitale del paese. Tuttavia, non vi è alcuna prova che i due eventi sono collegati, al di fuori dell’infezione lasso di tempo.
Articolo aggiornato con Webroot istruzione.
Correlati malware e attacchi informatici di copertura:
Nuovo Echobot malware è un miscuglio di vulnerabilitiesFlorida città paga $600.000 a ransomware gang di dati backRussian APT hacked Iraniano APT infrastrutture indietro nel 2017Mysterious Iraniano gruppo di hacking nel DNA sequencersNew Plurox malware è una backdoor, cryptominer, worm, tutti confezionati in oneMicrosoft avverte Azure clienti di Exim worm Più di 3B falsi messaggi di posta elettronica inviati ogni giorno, come gli attacchi di phishing persistono TechRepublicGame of Thrones ha più malware di qualsiasi pirata TV show CNET
Argomenti Correlati:
Enterprise Software
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati