MKD-CIRT National Centre for Computer Incident Response

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Microsoft денеска откри дека неговите безбедносни тимови следат над 100 хакери кои шират ransomware за време на напади. Севкупно, компанијата изјави дека следи над 50 уникатни ransomware групи кои биле активни до крајот на минатата година.

„Некои од најистакнатите ransomware payloads во неодамнешните кампањи вклучуваат Lockbit Black, BlackCat (познато како ALPHV), Play, Vice Society, Black Basta и Royal“, изјави Microsoft.

„Меѓутоа, одбранбените стратегии треба помалку да се фокусираат на payloads, но повеќе на синџирот на активности што водат до нивно ширење“, бидејќи хакерите сè уште ги таргетираат серверите и уредите што сеуште не се закрпени поради вообичаени или неодамна адресирани пропусти.

Додека новите ransomware групи се активни цело време, повеќето хакери ги користат истите тактики кога пробиваат и се шират низ мрежите, што го прави напорот за откривање на таквото однесување уште покорисен за спречување на нивните напади.

Како што додаде Редмонд, напаѓачите се повеќе се потпираат на тактики надвор од фишинг за да ги спроведат своите напади, со напаѓачи, како што се DEV-0671 и DEV-0882, кои капитализираат од неодамна закрпените пропусти на Exchange Server за хакирање на ранливи сервери и распоредување на Cuba и Play ransomware.

Минатата недела, тимот на Exchange ги повика администраторите да го распоредат најновото Cumulative Update (CU) за да ги обезбедат серверите на Exchange и секогаш да бидат подготвени да инсталираат безбедносно ажурирање за итни случаи.

Над 60.000 сервери на Exchange кои се изложени на Интернет сè уште се ранливи на напади што ги користат експлоатите на ProxyNotShell RCE. Во исто време, илјадници сè уште чекаат да бидат заштитени од напади насочени кон недостатоците на ProxyShell и ProxyLogon, два од најексплоатираните безбедносни пропусти во 2021 година.

Други ransomware групи, исто така, се префрлаат или користат малициозни реклами за да шират малициозен софтвер како ransomware и разни други видови на малициозен софтвер, како што се крадците на информации.

Напаѓачот познат како DEV-0569, за кој се верува дека е првичен посредник за пристап до ransomware групите, сега ги злоупотребува Google Ads во широко распространети рекламни кампањи за да дистрибуира малициозен софтвер, да краде лозинки од заразени уреди и на крајот да добие пристап до мрежите.

Тие го користат овој пристап како дел од нивните напади или го продаваат на други хакери, вклучувајќи ја и Royal ransomware групата.

Минатата година беше означена со крајот на операцијата за сајбер криминал Conti и подемот на новите ransomware-as-a-service (Raas), вклучувајќи ги Royal, Play и BlackBasta.

Во меѓувреме, ransomware групите LockBit, Hive, Cuba, BlackCat и Ragnar продолжија со напади и со зголемување на бројот на жртви во текот на 2022 година.

Како и да е, ransomware групите забележаа огромен пад на приходите од околу 40% минатата година, бидејќи можеа да добијат само приближно 456,8 милиони долари од жртвите во текот на 2022 година, по рекордните 765 милиони долари во претходните две години, според компанијата за блокчејн аналитика Chainalysis.

Сепак, овој значителен пад не беше предизвикан од помалку напади, туку од одбивањето на жртвите да ги платат барањата за откуп на напаѓачите.

Оваа година започна со голема победа против ransomware групите, откако беа запленети темните веб-страници на Hive ransomware и мрачните плаќања на Tor како дел од меѓународната операција за спроведување на законот во која беа вклучени американското Министерство за правда, ФБИ, Тајната служба и Europol.

По хакирањето на серверите на Hive, ФБИ дистрибуираше повеќе од 1.300 клучеви за дешифрирање на жртвите на Hive и доби пристап до комуникациските записи на Hive, хашовите на датотеките со малициозен софтвер и детали за 250 филијали на Hive.

Истиот ден, Стејт департментот на САД понуди до 10 милиони долари за какви било информации што би можеле да помогнат во поврзувањето на Hive ransomware бандата (или други хакери) со странски влади

Извор: BleepingComputer

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Забележан е нов малициозен софтвер базиран на Python кој има можности за remote access trojan (RAT) за да им овозможи на напаѓачите контрола над пробиените системи.

Наречен PY#RATION од истражувачите во компанијата за анализа на закани Securonix, новиот RAT го користи протоколот WebSocket за да комуницира со серверот за команда и контрола (C2) и да ги ексфилтрира податоците од домаќинот на жртвата.

Технички извештај од компанијата анализира како функционира малициозниот софтвер. Истражувачите забележуваат дека RАТ е активно развиен бидејќи забележале повеќе негови верзии од август кога започна кампањата PY#RATION.

Овој малициозен софтвер исто така беше откриен од MalwareHunterTeam, кој твитна за кампања во август 2022 година.

Малициозниот софтвер PY#RATION се дистрибуира преку фишинг кампања која користи прилози за ZIP-датотеки заштитени со лозинка кои содржат две кратенки .LNK-датотеки маскирани како слики, имено front.jpg.lnk и back.jpg.lnk.
Малициозниот код се извршува и за да контактира со C2 (Pastebin во подоцнежните напади) и да се преземат две .TXT-датотеки („front.txt“ и „back.txt“) кои на крајот се преименувани во BAT датотеки за да се приспособат на извршувањето на малициозниот софтвер.

По лансирањето, малициозниот софтвер креира директориуми „Cortana“ и „Cortana/Setup“ во привремениот директориум на корисникот и потоа презема, отпакува и извршува дополнителни извршни датотеки од таа локација.

Употребата на Cortana, решението за личен асистент на Microsoft на Windows, има за цел да ги прикрие записите на малициозен софтвер како системски датотеки.

Малициозен софтвер Python RAT спакуван во извршна датотека користи автоматски пакувачи како „pyinstaller“ и „py2exe“, кои можат да го претворат кодот на Python во извршни датотеки на Windows кои ги вклучуваат сите библиотеки потребни за негово извршување.

Истражувачите на Securonix изјавија дека малициозниот софтвер „ја користи вградената рамка на Python Socket.IO, која обезбедува функции и за комуникацијата на клиентот и на серверот WebSocket“. Овој канал се користи и за комуникација и за ексфилтрација на податоци.

Предноста на WebSockets е што малициозниот софтвер може истовремено да прима и испраќа податоци од и до C2 преку една TCP конекција користејќи порти кои вообичаено се оставаат отворени во мрежи како 80 и 443.

Аналитичарите забележаа дека хакерите ја користеле истата C2 адреса („169[.]239.129.108“) во текот на нивната кампања, од верзијата на малициозен софтвер 1.0 до 1.6.0.

Според истражувачите, IP адресата не е блокирана на системот за проверка на IPVoid, што покажува дека PY#RATION не е откриен веќе неколку месеци.

Во моментов остануваат нејасни деталите за конкретни кампањи кои го користат овој дел од малициозен софтвер и неговите цели, обемот на дистрибуција и напаѓачите кои стојат зад него.

Securonix објави посебен пост каде што ги наведува IoCs (показатели за компромис) за кампањата PY#RATION.

Извор: BleepingComputer

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Хакерите сега користат OneNote прилози во фишинг-мејлови кои ги инфицираат жртвите со малициозен софтвер за далечински пристап кој може да се користи за инсталирање дополнителен малициозен софтвер, кражба на лозинки или паричници со криптовалути.

Ова доаѓа откако напаѓачите со години дистрибуираа малициозен софтвер во е-пошта користејќи малициозни прилози на Word и Excel кои лансираат макроа за преземање и инсталирање малициозен софтвер.

Меѓутоа, во јули, Мајкрософт конечно ги оневозможи макроата стандардно во документите на Office, што го прави овој метод несигурен за дистрибуција на малициозен софтвер.

Набргу потоа, хакерите почнаа да користат нови формати на датотеки, како што се ISO слики и ZIP-датотеки заштитени со лозинка. Овие формати на датотеки наскоро станаа исклучително вообичаени, потпомогнати од грешката на Windows што дозволува ISO да ги заобиколат безбедносните предупредувања и популарната алатка 7-Zip што не пропагира ознаки на веб-локацијата на датотеките извлечени од ZIP архивите.

Сепак, и 7-Zip и Windows неодамна ги поправија овие грешки што предизвикуваат Windows да прикажува безбедносни предупредувања кога корисникот се обидува да отвори датотеки во преземените ISO и ZIP-датотеки.

За да не се одвратат, хакерите брзо се префрлија на користење на нов формат на датотека во нивните малициозни спам (malspam) прилози: Microsoft OneNote прилози.

Microsoft OneNote е десктоп дигитална апликација за белешки која може да се преземе бесплатно и е вклучена во Microsoft Office 2019 и Microsoft 365.
Бидејќи Microsoft OneNote е стандардно инсталиран во сите инсталации на Microsoft Office/365, дури и ако корисникот на Windows не ја користи апликацијата, таа сè уште е достапна за отворање на форматот на датотеката.

Од средината на декември, Trustwave SpiderLabs предупреди дека хакерите почнале да дистрибуираат малициозни спам-мејлови кои содржат OneNote прилози.

Од примероците пронајдени од страна на BleepingComputer, овие malspam е-пораки се преправаат дека се известувања за испорака на DHL, фактури, формулари за дознаки од ACH, механички цртежи и документи за испорака.
За разлика од Word и Excel, OneNote не поддржува макроа, така што хакерите претходно лансираа скрипти за инсталирање малициозен софтвер.
Наместо тоа, OneNote им овозможува на корисниците да вметнуваат прилози во NoteBook што, кога ќе се кликне двапати, ќе го стартува прилогот.

Хакерите ја злоупотребуваат оваа функција со прикачување на малициозни прилози на VBS кои автоматски ја стартуваат скриптата кога ќе се кликне двапати за да се преземе малициозен софтвер од оддалечена локација и да се инсталира.

Сепак, прилозите изгледаат како икона на датотека во OneNote, така што хакерите ја преклопуваат големата лента „Двоен клик за да ја видите датотеката“ над вметнати VBS прилози за да ги сокријат.
Кога ќе ја поместите лентата „Кликни за преглед на документ“, може да видите дека малициозниот прилог вклучува повеќе прилози. Овој ред на прилози се прави така што ако корисникот кликне двапати каде било на лентата, ќе кликне двапати на прилогот за да го стартува.
За среќа, кога ги стартувате прилозите на OneNote, програмата ве предупредува дека тоа може да му наштети на вашиот компјутер и податоци.

Но, за жал, историјата ни покажа дека овие типови на потсетници најчесто се игнорираат, а корисниците само кликнуваат на копчето ОК.

Со кликнување на копчето ОК ќе се стартува VBS скриптата за преземање и инсталирање малициозен софтвер.
Како што можете да видите од една од злонамерните OneNote VBS датотеки пронајдени од страна на BleepingComputer, скриптата ќе преземе и изврши две датотеки од оддалечен сервер.

Откако ќе се инсталира, овој тип на малициозен софтвер им овозможува на хакерите далечински пристап до уредот на жртвата за да украдат датотеки, зачувани лозинки на прелистувачот, да прават слики од екранот, а во некои случаи дури и да снимаат видео со помош на веб-камери.

Хакерите, исто така, најчесто користат тројанци со далечински пристап за да украдат паричници со криптовалути од уредите на жртвите, што го прави ова скапа инфекција.

Најдобар начин да се заштитите од малициозни прилози е едноставно да не отворате датотеки од луѓе што не ги познавате. Меѓутоа, ако погрешно отворите датотека, не занемарувајте ги предупредувањата прикажани од оперативниот систем или апликацијата.

Ако видите предупредување дека отворањето прилог или врска може да му наштети на вашиот компјутер или датотеки, едноставно не притиснете ОК и затворете ја апликацијата.

Ако сметате дека можеби е легитимна е-пошта, споделете ја со безбедносен или Windows администратор за да ви помогне да потврдите дали датотеката е безбедна.

Извор: BleepingComputer