Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

ExPetr/Petya/NotPetya jest programem Wiper, nie Ransomware

GReAT
Dodany 30 czerwca 2017, 13:40 CEST
Tagi:

Po przeanalizowaniu procedury szyfrowania szkodliwego oprogramowania wykorzystywanego w atakach Petya/ExPetr sądziliśmy, że odpowiedzialne za nie ugrupowanie cyberprzestępcze nie może odszyfrować dysku ofiary, nawet jeśli ta zapłaci.

Potwierdza to teorię, zgodnie z którą kampania ta nie została zaplanowana jako atak z wykorzystaniem oprogramowania ransomware w celu uzyskania korzyści finansowych. Wygląda na to, że miał to być atak z wykorzystaniem programu wiper, który udaje ransomware.   

Poniżej przedstawiamy szczegóły techniczne. Po pierwsze, w celu odszyfrowania dysku ofiary osoby atakujące potrzebują identyfikator instalacji: 

expetya_wiper_01_auto.png

We wcześniejszych wersjach “podobnego” oprogramowania ransomware, jak Petya/Mischa/GoldenEye, ten identyfikator instalacji zawiera istotne informacje dla odzyskania klucza. Po wysłaniu takich informacji do osoby atakującej może ona uzyskać klucz deszyfracji przy użyciu swojego prywatnego...


Pet(ya) Schroedingera

GReAT
Dodany 30 czerwca 2017, 13:32 CEST
Tagi:

[AKTUALIZACJA: 28 CZERWCA 2017]Po przeanalizowaniu procedury szyfrowania szkodliwego oprogramowania wykorzystywanego w atakach Petya/ExPetr myśleliśmy, że odpowiedzialne za nie ugrupowanie cyberprzestępcze nie może odszyfrować dysku ofiary, nawet jeśli ta zapłaci. Wygląda na to, że w przypadku tej kampanii mamy do czynienia z wiperem, który udaje oprogramowanie ransomware. Więcej na ten temat w poście: ExPetr/Petya/NotPetya jest programem Wiper, nie Ransomware    

27 czerwca otrzymaliśmy raporty dotyczące nowej globalnej fali ataków z wykorzystaniem oprogramowania ransomware (występujących w mediach pod kilkoma nazwami, w tym Petya, Petrwrap, NotPetya oraz exPetr) uderzających głównie w firmy na Ukrainie, w Rosji i Europie Zachodniej. Jeśli jesteś jedną z ofiar, poniższy ekran może wydać ci się znajomy:   

schroedinger_petya_01_auto.png

Rozwiązania firmy Kaspersky Lab skutecznie powstrzymują ten atak za pośrednictwem komponentu Kontroli...


Lazarus/Bluenoroff - cyberataki finansowe na dużą skalę

GReAT
Dodany 3 kwietnia 2017, 15:36 CEST
Tagi:

W lutym 2017 r. artykuł w polskich mediach przerwał ciszę w odniesieniu do długotrwałej serii ataków na banki, przypisywanych grupie Lazarus. Mimo że w pierwotnej publikacji nie wspomniano o tej grupie, badacze ds. cyberbezpieczeństwa szybko podchwycili temat. W tym artykule podzielimy się naszymi odkryciami i dodamy kilka informacji do ogólnej wiedzy o ugrupowaniu Lazarus oraz jego połączeniach z szeroko dyskutowanym incydencie z lutego 2016 r., kiedy nieznana wówczas grupa cyberprzestępców przypuściła próbę ataki, którego celem była kradzież 851 mln dolarów z Centralnego Banku Bangladeszu. 

Od wykrycia incydentu w Bangladeszu pojawiło się zaledwie kilka artykułów tłumaczących połączenia między grupą Lazarus a skokiem na systemy SWIFT. Jeden z nich został napisany przez BAE Systems w maju 2016 r., jednak tekst zawierał wyłącznie analizę kodu szkodliwego modułu odpowiedzialnego za niszczenie danych (tzw....


Ataki „EyePyramid”

GReAT
Dodany 17 stycznia 2017, 11:12 CET

10 stycznia 2017 roku włoska policja odtajniła nakaz sądowy dotyczący se...

Infektor bankomatowy

GReAT
Dodany 18 maja 2016, 12:44 CEST
Tagi:

Siedem lat temu, w 2009 roku, zauważyliśmy całkowicie nowy typ ataków na banki. Zamiast infekować komputery tysięcy użytkowników na całym świecie, przestępcy postawili bezpośrednio na bankomat – infekując go szkodliwym oprogramowaniem o nazwie Skimer. Siedem lat później nasz Globalny Zespół ds. Badań i Analiz (GReAT), wraz z grupą odpowiedzialną za testy penetracyjne, został wezwany do reakcji na incydent. W efekcie, została wykryta nowa, udoskonalona wersja Skimera.

 

Infekcje w stylu wirusów

 

Przestępcy często zaciemniali swoje szkodliwe oprogramowanie przy użyciu pakerów, aby utrudnić analizę badaczom. W ten sposób postępowali również przestępcy stojący za Skimerem, wykorzystując komercyjnie dostępnego pakera o nazwie Themida, który kompresuje zarówno infektora jak i droppera.   

 

Po tym, jak szkodliwe oprogramowanie zostanie wykonane, sprawdza, czy system plików to FAT32. Jeśli tak, wrzuca plik netmgr.dll do...



Oznaki włamania

Potężne ugrupowanie cyberprzestępcze występujące pod nazwą „Wild Neutron” (znane również jako „Jripbot” oraz „Morpho“) wykazuje aktywność przynajmniej od 2011 roku, infekując znane firmy od kilku lat poprzez wykorzystywanie w tym celu zestawu różnych exploitów, ataków „przy wodopoju” oraz szkodliwego oprogramowania wieloplatformowego.

W ostatniej rundzie ataków z 2015 r. wykorzystano skradziony certyfikat służący do podpisywania kodu, należący do tajwańskiego producenta elektroniki Acer oraz nieznany exploit Flash Playera.

O grupie Wild Neutron zrobiło się głośno w 2013 roku, gdy skutecznie zainfekowała takie firmy jak Apple, Facebook, Twitter oraz Microsoft. W ataku tym wykorzystano exploita zero-day Javy oraz zhakowane fora jako tzw. „wodopoje”. Incydent z 2013 r. został szeroko nagłośniony, po czym odpowiedzialna za niego grupa zniknęła na prawie rok.   

Ataki zostały wznowione pod koniec 2013 r. i na...


Moduł przetrwania Duqu 2.0

GReAT
Dodany 16 czerwca 2015, 13:35 CEST

Wcześniej wspominaliśmy, że Duqu 2.0 nie posiada normalnego mechanizmu „przetrwania”. Na tej podstawie można sądzić, że pozbycie się tego szkodliwego oprogramowania sprowadza się do ponownego uruchomienia wszystkich zainfekowanych maszyn. W rzeczywistości sprawa jest trochę bardziej skomplikowana.

Osoby atakujące stworzyły nietypowy moduł przetrwania, który umieszczają w zhakowanych sieciach. Pełni on podwójną funkcję, ponieważ dodatkowo obsługuje ukryty mechanizm komunikacji z centrum kontroli (C&C). To przetrwanie na poziomie organizacji umożliwia sterownik, który jest instalowany jako normalna usługa systemowa. W systemach 64-bitowych oznacza to ścisły wymóg sygnatury cyfrowej Authenticode. Zaobserwowaliśmy dwa takie sterowniki przetrwania zaimplementowane podczas ataków.  

Podczas swojego działania osoby stojące za kampanią Duqu instalują takie szkodliwe sterowniki na zaporach sieciowych, bramach...