per Zero-Day
| 21 novembre 2019 — 01:30 (GMT) (01:30 GMT)
| Argomento: Sicurezza
Getty Images/iStockphoto
In una dichiarazione pubblicata oggi, Microsoft ha respinto le voci che il suo Team di Microsoft comunicazione e piattaforma di collaborazione che viene utilizzato dai cyber-criminali per impianto ransomware sulle reti aziendali.
Come tutti i rumors, la sua origine è sconosciuta, ma queste voci hanno cominciato a circolare online all’inizio di novembre, dopo diverse aziende in tutta la Spagna sono stati infettati con ransomware. La voce che il Team di Microsoft è stato l’infezione punto per gli attacchi è stato proposto online da account di Twitter, non coinvolti nelle indagini ufficiali, ed è stato preso al valore nominale da vari spagnolo prese di notizie, che aiuta a ottenere più slancio, senza alcun merito.
@MSFT365Status @Office365 @Microsoft un aggiornamento sul ransomware attacco nelle società di Spagna con “Team di Microsoft”?
— Beowulf (@kampitofreak) 5 novembre 2019
“Microsoft ha analizzato i recenti attacchi da parte di malintenzionati attori che usano la Dopplepaymer ransomware”, ha detto Simon Papa, Direttore di Risposta agli Incidenti di Microsoft Security Response Center (MSRC).
“C’è fuorviante informazioni che circolano su Microsoft Squadre, insieme con i riferimenti RDP (BlueKeep), come i modi in cui questo malware si diffonde,” Papa aggiunto.
“La nostra sicurezza gruppi di ricerca hanno studiato e trovato alcuna prova a sostegno di queste affermazioni,” Microsoft exec detto. “Nelle nostre indagini abbiamo scoperto che il malware si basa sul telecomando operatori umani utilizzando le attuali credenziali di Amministratore di Dominio per diffondere attraverso la rete aziendale.”
Il papa si riferisce qui a un tattica dove ransomware bande ottenere l’accesso a un computer sulla rete interna di una società attraverso vari metodi, estratto di credenziali per il dominio locale admin, e diffondere lateralmente per più computer, la crittografia dei dati in loro lungo la strada.
Oltre a rifiutare le voci che in qualche modo il Team di Microsoft è stato coinvolto nei recenti attacchi, il Papa rivolge anche un secondo set di voci che è stata anche andando in giro sui social media e alcune tech siti di notizie.
Questi secondo indiscrezioni affermavano che i cyber-criminali hanno il BlueKeep RDP vulnerabilità per installare il DoppelPaymer ransomware, anche in riferimento agli stessi attacchi rilevati in tutta la Spagna, e di quelli successivi, come quelli che hanno colpito Messicana compagnia petrolifera statale PEMEX.
Inoltre, il Team di Microsoft update cosa che si ripete da società di sicurezza è originata da un singolo tweet speculando su di esso. Non è una cosa, non è mai una cosa del genere, non è un vettore di ransomware. Il unsexy verità è che gli aggressori si domain admin.
— Kevin Beaumont (@GossiTheDog) 21 Novembre, 2019
Questo è un primo del suo genere, mossa da parte della società. Microsoft non ha mai fino ad oggi emesso una tale poppa dichiarazione di corretta (ad palesemente falso) online rumors.
Col senno di poi, entrambe le voci devono avere mai preso piede come hanno fatto, con alcuni ripete alcune novità articoli dei media, e che avrebbero potuto essere facilmente confutate.
Primo, il DoppelPaymer ransomware è una versione del BitPaymer ransomware, e, storicamente, è stato distribuito esclusivamente tramite il Dridex botnet o il Emotet botnet (o entrambi).
I computer infettati con il Dridex o Emotet malware sono in alcuni casi utilizzati per fornire ransomware bande con accesso manuale per la societa’ di reti interne. Qui, come già spiegato in precedenza, gli aggressori estratto di credenziali per l’azienda di rete interna per diffondere lateralmente ad altri sistemi, e quindi installare DoppelPaymer come molti sistemi come possono.
Secondo, tutti gli attacchi sono stati i BlueKeep vulnerabilità è stato distribuito aveva l’obiettivo finale di installazione di un cryptocurrency minatore, qualcosa che si è resa evidente dai due ricercatori che individuato e studiato l’iniziale BlueKeep attacchi [1, 2], e anche la stessa Microsoft.
Ci deve essere ancora un documentato pubblicamente caso in cui BlueKeep è stato utilizzato per installare ransomware.
Come ricercatore di sicurezza Kevin Beaumont e Rapid7 Capo di Dati Scienziato Bob Rudis hanno detto in molte occasioni, la maggior parte delle RDP dannosi traffico di oggi è RDP brute-force attack — dove gli attaccanti tenta di indovinare la connessione RDP password– piuttosto che BlueKeep relative allo sfruttamento di traffico.
Yep. Lo può confermare. https://t.co/4IDOwNfFRq
— boB Rudis (@hrbrmstr) 21 novembre, 2019
Sicurezza
Chrome, Edge, Safari violato elite Cinese hacking contest
Migliaia di hacked Disney+ conti sono già in vendita sul forum di hacking
Sicurezza informatica si sta dirigendo in una crisi di reclutamento: Ecco come risolvere il problema
Fissaggio di fughe di dati in Jira (ZDNet YouTube)
Migliore di sicurezza domestica del 2019: monitoraggio Professionale e fai da te (CNET)
Come controllare la posizione di inseguimento sul tuo iPhone in iOS 13 (TechRepublic)
Argomenti Correlati:
Microsoft
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
per Zero-Day
| 21 novembre 2019 — 01:30 (GMT) (01:30 GMT)
| Argomento: Sicurezza