Zero
Nawadoln, Getty Images/iStockphoto
Ransomware che viene utilizzato per nascondere un elaborato, hacking mirata campagna che è andato inosservato per mesi prima di attaccanti staccato la spina e crittografato centinaia di macchine in una sola volta, nel tentativo di rimuovere il furto di dati, mentre anche coprire le loro tracce.
La campagna di Giapponesi, organizzazioni di attacchi che durava da tre a nove, prima di un attacco ransomware utilizzato un tergicristallo su macchine compromesse nel tentativo di nascondere l’operazione.
Indagine forense di macchine infette da ricercatori Cybereason ha portato alla conclusione che l’aggressore fatto il tentativo di cancellare le prove di funzionamento e di distruggere ogni traccia di attacco.
Il nome del ransomware viene dal .oni di file con estensione dei file crittografati, nonché l’indirizzo di posta elettronica della nota di riscatto, che si traduce in “Notte del Diavolo” – il nome ricercatori hanno dato all’operazione. I ricercatori di notare che ONI condivide molto del suo codice con GlobeImposter ransomware.
Attacchi utilizzando ONI ransomware sono state effettuate contro obiettivi Giapponesi per qualche tempo, ma l’indagine sulla recente ondata di attacchi ha scoperto una nuova variante, MBR-ONI, una forma di ransomware che è dotato di bootkit caratteristiche.
Il nuovo bootkit ransomware è basato su DiskCryptor, un legittimo strumento di crittografia del disco, il cui codice è stato trovato anche in Bad Rabbit ransomware.
Mentre MBR-ONI bootkit ransomware è stato utilizzato nei confronti di una controllata, una serie di obiettivi, come ad esempio Active Directory, server e altre risorse critiche, ONI è stato utilizzato contro il resto degli endpoint in una rete infetta.
Vedi anche: Ransomware: Un esecutivo a guida di una delle più grandi minacce sul web
ONI gli attacchi iniziano tutte allo stesso modo, con la spear-phishing, la distribuzione dannoso documenti di Office, che gocce di Ammyy Admin strumento di accesso remoto.
Una volta dentro il sistema, gli aggressori mappa le reti interne di raccolta credenziali e spostando lateralmente attraverso il sistema, i ricercatori sospettano che la fuoriuscita NSA SMB sfruttare EternalBlue gioca un ruolo nel consentire hacker per diffondere attraverso la rete.
Compromettere la critica di beni tra cui il controller di dominio per avere il pieno controllo della rete e la capacità di sottrarre eventuali dati ritenuti importanti.
Una volta che gli attaccanti sono fatte con la rete infetta, ONI e MBR-ONI ransomware è stato eseguito.
Mentre ONI di fornire una nota di riscatto e la prospettiva di recuperare i dati crittografati, i ricercatori credono MBR-ONI è progettato in modo da non fornire una chiave di decodifica, ma piuttosto come un tergicristallo, per coprire gli attaccanti impronte e nascondere i veri obiettivi dell’attacco di spionaggio e rimozione di dati su un periodo di mesi.
Nel corso delle indagini mirate organizzazioni, è stato rilevato che alcuni erano stati compromessi dal dicembre 2016, indicando la pianificazione a lungo termine e raffinatezza per conto degli attaccanti.
Mentre ONI e scoperto di recente MBR-ONI mostra tutte le caratteristiche di ransomware, la nostra analisi suggerisce fortemente che si potrebbe effettivamente utilizzate come tergicristalli per la copertura di un elaborato schema”, ha detto Assaf Dahan, direttore dei servizi di sicurezza avanzati a Cybereason
“L’uso di ransomware e/o i tergicristalli in caso di attacchi mirati non è una pratica molto comune, ma è in aumento. Noi crediamo “La Notte del Diavolo’ attacco è parte di una relativa tendenza globale in cui la minaccia attori utilizzare il ransomware/tergicristalli attacchi mirati”, ha aggiunto.
I ricercatori non sono stati in grado di accompagnare concludere che è dietro la campagna e della lingua russa in codice potrebbe fornire un indizio o una diversione in egual misura.
“La domanda di attribuzione è un match difficile. La lingua russa tracce trovate nel file binari potrebbe suggerire che c’è una minaccia russa attore dietro l’attacco. Detto questo, questo genere di dati possono anche essere facilmente manipolati dagli aggressori per lanciare i ricercatori di fuori della pista,” Dahan detto a ZDNet.
Altri esempi di campagne utilizzando ransomware distruttiva, di attacchi mirati che includono Mamba, Stonedrill, Shamoon e più infame, NotPetya, che hanno seminato il caos globale all’inizio di quest’anno.
PER SAPERNE DI PIÙ SULLA CRIMINALITÀ INFORMATICA
Il brutto futuro di ransomware: Quattro modi l’incubo sta per arrivare anche worseThe globale ransomware epidemia è appena iniziato [CNET]Ransomware si gira ancora di più selvaggia: la Distruzione, non il profitto, diventa il vero obiettivo è La top 10 dei peggiori attacchi ransomware del 2017, finora [TechRepublic]Trapelato NSA hacking exploit utilizzato in WannaCry ransomware è ora di accendere il malware Trojan
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0