Hacking ordning til at stjæle universiteternes forskning til militære formål spores tilbage til Kina
Prominente navne indslag om hacking liste.
Varianter af LockerGoga, en form for ransomware, som er rettet mod industrielle systemer, er blevet opdaget i som løsesum for betalinger, der synes at være en eftertanke snarere end malware ‘ s egentlige formål.
Den malware for nylig blev registreret i hjertet af et angreb sted mod Norsk Hydro. Aluminium producent blev smittet med en stamme af malware, som er låst sine systemer, og krævede en ransomware betaling; en efterspørgsel, som ikke var opfyldt.
I stedet, Norsk Hydro kaldt ud for at hjælpe og Microsoft, blandt andre IT-leverandører, svarede.
Men selskabet var stadig tvunget til at skifte til manuelle processer og ikke kunne få adgang til kundernes ordrer, indtil sikkerhedskopier blev restaureret.
LockerGoga er en af mange former for malware i naturen, som har angrebet industrielle systemer. En anden familie at bemærke, Industroyer, malware, som ESET siger, er “specielt designet til at angribe power grid” og var ansvarlig for den midlertidige lukning af elnettet i Kiev, Ukraine, i 2016.
Ifølge forskere fra Securonix Trussel Forskning team, LockerGoga varianter har givet et indblik i den malware evner-samt nogle mærkelige programmering elementer, som kan gøre at betale en løsesum mere vanskeligt.
I et blog-indlæg på tirsdag, Securonix udgivet en detaljeret rapport om mulighederne i LockerGoga stammer, der er aktive i dag.
Infektionen vektor af LockerGoga er ikke blevet bekræftet, men som i mange tilfælde er en virksomhed gå på kompromis, det er sandsynligt, at phishing-meddelelser repræsenterer den indledende fase. Forskerne siger, at Microsoft Word eller RTF-dokumenter, der indeholder indlejret, ondsindede makroer, der er mistænkt for syndere.
Nyttelast er signeret med et gyldigt certifikat, som gøre det muligt at omgå sikkerheden ved traditionelle produkter. Truslen aktører bag ransomware bruger flere nøglecentre (CAs) til at underskrive den software off — Alisa Ltd., Kitty Ltd., Sectigo, og Mikl Begrænset — og nogle varianter af malware, er blevet udstyret med taskkill kapacitet for at deaktivere antivirus-systemer. Andre, derudover, er i stand til at slette Windows-processer.
Se også: Georgia Tech afslører brud på datasikkerheden, 1.3 millioner plader udsat
Når et system er inficeret med LockerGoga, nogle varianter vil flytte nyttelast omkring netværk ved hjælp af Microsoft SMB (Server Message Block) protokollen, mens andre har været observeret ved hjælp af Active Directory management services til samme formål.
“Den mest sandsynlige angreb progression [er], at en indledende kompromis, der blev efterfulgt af manuel operatør placering og ændring af en af de eksisterende logon script poster i Netlogon-mappe på en ANNONCE ressource […], som tillod den binære fil for at
automatisk forplante sig, og udføres af brugere i organisationen i løbet af en logonsession,” Securonix siger. “Det er også muligt, at truslen aktører skabt et nyt logon script, og der er tilføjet en ny logon GPO indrejse til at udføre programmet på alle systemer, der anvender logon script til den organisatoriske enhed eller hele organisationen.”
Anti virtuelle maskine (VM), og sandkasse unddragelse teknikker, omend primitive dem, er også i spil.
Den malware derefter begynder sit arbejde. LockerGoga fokuserer på at kryptere filer med populære udvidelser herunder .doc, .xml .ppt og .pdf ved hjælp af AES-256-nøgler. Udvidelsen *.LÅST bruges.
Hovedindholdet af malware til at inficere og kryptere. Men nogle LockerGoga varianter har en mærkelig særhed, som kan gøre det sværere for ofrene til at betale deres løsesum efterspørgsel.
I nogle stammer, malware vil ændre administrator-passwords, og log ofrene ud af deres system hjælp logoff.exe.
“Dette indikerer, at angriberne mål” kan have inkluderet yderligere målsætninger, som ikke er en del af en traditionel ransomware modus operandi, som cybersabotage,” siger team.
TechRepublic: Hvordan man bruger SSH som en VPN-med sshuttle
At tage ned centrale, kritiske tjenester kan have katastrofale virkelige verden konsekvenser, og at disse forstyrrelser kan være en fristende at lokke for trussel aktører. Det ser ud til, at i LockerGoga ‘s tilfælde, er vi tilbøjelige til at se flere eksempler af malware i naturen givet FIN6’ s beslutning om at begynde at implementere både Ryuk og LockerGoga ransomware pres på de netværk af inficerede virksomheder.
CNET: Wyze Cam ‘ s nye ven: $20 Wyze Forstand security kit
Oleg Kolesnikov, Direktør for Trussel Forskning på Securonix fortalte ZDNet:
“En af grundene til, at LockerGoga var så slagkraftige i Norsk Hydro angreb var dens omfang. Det smittede af flere systemer gennem kopiering til den delte mappe og efterfølgende lateral bevægelse, der påvirker hele organisationen.
Denne laterale bevægelse er en teknik, der ikke har været brugt almindeligt i andre angreb, så er det ikke noget, at virksomheder, der er vant til at afsløre for, men bør indgå i protokoller for den fremtidige registrering.”
Tidligere og relaterede dækning
Farmaceutiske gigant Bayer ramt af cyberangreb, trussel “indeholdt”
Et dusin AMERIKANSKE web-servere er spredning 10 malware familier, Necurs link mistænkt
Google ‘ s Project Zero afslører nul-dag macOS sårbarhed over for offentligheden
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre