| December 2, 2019 — 17:00 GMT (17:00 GMT)
| Onderwerp: Security
Malware-aanvallen op ziekenhuizen zijn op de stijging
De healthcare industrie slaat een aantal van de meest gevoelige persoonlijke informatie er kan worden over mensen: hackers weten dit en zijn op zoek te benutten wat ze beschouwen als een makkelijk doelwit.
Een nieuw ontdekte hacken campagne van een ‘geavanceerde cyber criminele operatie’ is gericht op gezondheidszorg en onderwijs organisaties met custom-built, Python-gebaseerde trojan malware waardoor aanvallers bijna de controle van Windows-systemen met de mogelijkheid om het toezicht op de maatregelen en het stelen van gevoelige gegevens.
Schadelijke functies van de remote access trojan , genaamd PyXie RAT, zijn keylogging, identificatie oogsten, het opnemen van video cookie diefstal, het vermogen tot het uitvoeren van man-in-het-midden aanvallen en de mogelijkheid voor het implementeren van andere vormen van malware op geïnfecteerde systemen.
Dit alles is bereikt tijdens het wissen van een bewijs van verdachte activiteit in een poging om ervoor te zorgen dat de malware niet ontdekt.
Echter, sporen van de aanvallen zijn gevonden en uitgewerkt door cyber security onderzoekers van de Blackberry Cylance, die de naam van de malware PyXie vanwege de manier waarop de gecompileerde code gebruikt ‘.pyx’ file extension in plaats van de ‘.pyc’ typisch geassocieerd met Python.
PyXie RAT is actief sinds ten minste 2018 en is zeer maat, die aangeeft dat veel tijd en middelen geïnvesteerd zijn in het gebouw.
“De aangepaste gereedschappen en het feit dat het bleef onder de radar dit lang laat zeker een niveau van verduistering en stealth-in lijn met een geavanceerde cyber criminele operatie,” Josh Lemos, VP van onderzoek en intelligentie bij Blackberry Cylance vertelde ZDNet.
De malware wordt meestal geleverd aan de slachtoffers door een sideloaden techniek die gebruik maakt van legitieme toepassingen te helpen compromis slachtoffers. Een van deze toepassingen ontdekt door onderzoekers werd een trojanized versie van een open source spel, die als het gedownload is, zal gaan over het stiekem installeren van de kwaadaardige lading, met behulp van PowerShell voor rechten escalatie en krijgen persistentie op de machine.
Een derde fase van het multi-level downloaden ziet PyXie RAT leverage iets bekend in de code als ‘Cobalt-Modus’, die maakt verbinding met een command and control-server, evenals het downloaden van de laatste lading.
ZIE: EEN winnende strategie voor cybersecurity (ZDNet speciale rapport) | Download het rapport als PDF (TechRepublic)
In dit stadium van het downloaden duurt het voordeel van Kobalt Staking – een legitieme penetration testing tool te helpen met het installeren van de malware. Het is een tactiek die vaak ingezet door cyber criminele bendes en iets dat helpt bij het maken van aanvallen moeilijker te kenmerk.
Deze bijzondere downloader heeft ook overeenkomsten met andere gebruikt voor het downloaden van de Shifu banking trojan, echter, het kan ook gewoon een zaak van criminelen nemen van open source – of wordt gestolen – code en re-purposing voor hun eigen doeleinden.
“Een voordeel van het gebruik van een gebruikte tool zoals Kobalt Staking is het maakt naamsvermelding moeilijk, omdat het wordt gebruikt door vele verschillende dreigingen als legitieme pentesters. Met de Shifu banking trojan overeenkomsten, het is onduidelijk of het is dezelfde acteurs of als iemand anders hergebruikt sommige van de code,” zei de Lemos.
Eenmaal geïnstalleerd op het doel systeem, kan een aanvaller zich kan verplaatsen van het systeem en het implementeren van commando ‘ s zoals u ze. Bovendien worden gebruikt om stelen van gebruikersnamen, wachtwoorden en andere informatie in het systeem in te voeren, zijn de onderzoekers er rekening mee dat er gevallen zijn van PyXie wordt gebruikt voor het afleveren van ransomware tot een verslechtering van de netwerken.
“Dit is een full-featured RAT dat kan worden gebruikt voor een breed scala van doelen en de actoren hebben verschillende motieven, afhankelijk van het doel milieu. Het feit dat het is gebruikt in combinatie met ransomware in een aantal omgevingen geeft aan dat de actoren kan financieel gemotiveerd, althans in die gevallen,” zei de Lemos.
De volle omvang van de PyXie RAT campagne is nog niet zeker, maar de onderzoekers hebben geïdentificeerd aanvallen tegen meer dan 30 organisaties, voornamelijk in de gezondheidszorg en het onderwijs industrieën, met honderden machines van mening te zijn besmet.
Afgezien van de te verwachten dat een goed uitgeruste cyber criminele groep, het is momenteel niet bekend wie er precies achter PyXie RAT, maar de campagne is nog steeds gedacht om actief te worden.
Echter, ondanks de prachtige natuur van de malware, onderzoekers stellen dat het kan worden beschermd tegen door de standaard cyber hygiëne en enterprise security best practices inclusief besturingssysteem en applicatie patchen, endpoint protection technologie, auditing, logging en monitoring van het eindpunt en de netwerkactiviteit en de controle van de identificatie gebruiken.
LEES MEER OVER CYBER CRIME
Malware-aanvallen op ziekenhuizen stijgt snel, en het probleem is over veel ergerWaarom adware en Trojaanse paarden pest de sector onderwijs TechRepublicCybersecurity: minder dan de helft van de organisaties zijn volledig voorbereid om te gaan met cyberaanvallen7 security tips om te voorkomen dat mensen en apps van het stelen van uw gegevens CNETDit makkelijk-te-gebruiken van informatie-stelende trojan malware is snel aan populariteit onder cybercriminelen
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
| December 2, 2019 — 17:00 GMT (17:00 GMT)
| Onderwerp: Security