Το LockerGoga στοχεύει να επιτεθεί σε κρίσιμες υποδομές παγκοσμίως με τη συμμετοχή προσπαθειών ως μέρος ενός Trio Ransomware

Οι ανακριτές λένε ότι τα ransomware LockerGoga, MegaCortex και Ryuk χρησιμοποιούνται σε επιθέσεις που στοχεύουν κρίσιμες υποδομές σε όλο τον κόσμο.

Το Ransomware προκαλεί σοβαρό χάος στις επιχειρήσεις σε όλο τον κόσμο. Οι εταιρείες φοβούνται ότι οι βάσεις δεδομένων τους θα καταστραφούν από τις αυξανόμενες επιθέσεις ransomware, με στόχο όλο και περισσότερες βασικές βιομηχανίες.

Η ολλανδική κυβέρνηση προειδοποιεί για τρία φοβερές Ransomware

Σύμφωνα με έκθεση του Εθνικού Κέντρου Ασφάλειας Cyber στις Κάτω Χώρες, τουλάχιστον 1.800 επιχειρήσεις παγκοσμίως επηρεάζονται από ransomware. Η έκθεση επισημαίνει επίσης τρία κομμάτια κακόβουλης κρυπτογράφησης αρχείων τα οποία ευθύνονται για τη μαζική μόλυνση. Αυτά είναι τα ransomware LockerGoga, MegaCortex και Ryuk. Σύμφωνα με τους ερευνητές, αυτές οι τρεις απειλές ransomware χρησιμοποιούν την ίδια ψηφιακή υποδομή και θεωρούνται "κοινές μορφές ransomware".

Οι επιπτώσεις των υποδομών ζωτικής σημασίας

Αν και το NCSC είπε ότι τα θύματα κακόβουλων προγραμμάτων ήταν περίπου 1.800, ο πραγματικός αριθμός των στοχευμένων εταιρειών θα μπορούσε να είναι πολύ υψηλότερος . Τα ονόματα των εμπλεκομένων οργανισμών παρέμειναν άγνωστα, ωστόσο οι ερευνητές δήλωσαν ότι οι επιθέσεις ransomware ήταν κατά των κρίσιμων υποδομών σε όλο τον κόσμο.

Το NCSC βρήκε στοιχεία που αποδεικνύουν ότι η Ryuk έχει χρησιμοποιηθεί σε επιθέσεις ransomware κατά κυβερνητικών, εκπαιδευτικών και υγειονομικών ιδρυμάτων . Ένα από τα τεράστια θύματα της είναι η ισπανική πολυεθνική εταιρεία Prosegur. Η επίθεση εναντίον της είχε ως αποτέλεσμα την απομόνωση τόσο των εσωτερικών όσο και των εξωτερικών συστημάτων, κλείνοντας τις επικοινωνίες με τους πελάτες της.

Το MegaCortex είναι γνωστό για τη στόχευση εταιρικών δικτύων. Το ransomware κρυπτογραφεί τα αρχεία, αλλάζει τον κωδικό πρόσβασης του χρήστη και απειλεί να δημοσιεύσει τα αρχεία του θύματος αν δεν πληρώσει τα λύτρα. Ένα από τα θύματα κακόβουλου λογισμικού ήταν ο Sophos, ο οποίος ανέφερε ότι οι Trojans Emotet ή Qakbot στα δίκτυά τους μολύνθηκαν με MegaCortex.

Ταυτόχρονα, το ransomware LockerGoga έχει χρησιμοποιηθεί σε πολλές επιθέσεις κακόβουλου λογισμικού σε κρίσιμες υποδομές, όπως οι Altran Technologies στη Γαλλία, οι χημικές εταιρείες Hexion και Momentive στις ΗΠΑ και η Norsk Hydro στη Νορβηγία, αναγκάζοντας τη μετάβαση σε χειροκίνητες επιχειρήσεις.

Το Trio Ransomware εγκαθίσταται μέσω στοχευμένων επιθέσεων

Το LockerGoga είναι γνωστό ότι αποτελεί μέρος ενός κύματος λοιμώξεων υψηλού προφίλ που στοχεύουν ειδικά σε μεγάλες εταιρείες. Η ομάδα που είναι υπεύθυνη για τις επιθέσεις έχει εντοπιστεί ως ομάδα που βγαίνει από τη Ρωσία όπου η υποδομή νοικιάζεται από άλλες ομάδες. Επιπλέον, οι ομάδες που σχετίζονται με την υποδομή επιτρέπουν τη στόχευση μεγάλων εταιρειών και τη μόλυνση τους με το LockerGoga.

Οι ειδικοί της Cyber αποκάλυψαν ότι οι περισσότερες από τις επιθέσεις πραγματοποιήθηκαν από μια «επαγγελματική εγκληματική οργάνωση» με έναν μάλλον οργανωμένο τρόπο. Ενώ μια από τις ομάδες ασχολήθηκε με τις προσπάθειες διείσδυσης, μια άλλη εξάπλωσε το κακόβουλο λογισμικό. Χρησιμοποιώντας παραλλαγές των απειλών κακόβουλου λογισμικού TrickBot και Emotet, τα ευάλωτα συστήματα ενδέχεται να μολυνθούν από το LockerGoga, οδηγώντας σε πτώση του ωφέλιμου φορτίου του μέσω κερκόπορτας. Το payload του LockerGoga μπορεί να εκτελεστεί μέσω μιας μετονομασμένης έκδοσης ενός εργαλείου διαχείρισης συστήματος. Η αρχική διάδοση του LockerGoga πραγματοποιείται συνήθως μέσω μολυσμένων τερματικών σε άλλα συνδεδεμένα συστήματα ενός δικτύου.

Σύμφωνα με τους ερευνητές που ανέλυσαν τα ransomware της MegaCortex, οι χάκερ κέρδισαν την πρόσβαση σε ένα δίκτυο πρώτα και έπειτα τον συμβιβασμό του ελεγκτή τομέα των Windows. Μετά την υπονόμευση του ελεγκτή τομέα, οι εγκληματίες θα εγκαταστήσουν το Cobalt Strike για να ανοίξουν ένα πίσω κέλυφος πίσω τους.

Αφού αποκτήσουν πλήρη πρόσβαση στο δίκτυο, οι χάκερ θα χρησιμοποιήσουν το PsExec για να διανείμουν ένα αρχείο δέσμης και το ransomware που ονομάζεται winnit.exe στους υπόλοιπους υπολογιστές, όπως φαίνεται στο σχήμα 1 παρακάτω. Στη συνέχεια θα εκτελεστεί το αρχείο δέσμης και όλοι οι σταθμοί εργασίας θα κρυπτογραφηθούν αμέσως.


Εικόνα 1. Αρχείο παρτίδας - Πηγή: Bleepstatic.com

Μόλις ξεκινήσει το εκτελέσιμο αρχείο winnit.exe, θα πρέπει να παρασχεθεί μια συγκεκριμένη κωδικοποιημένη συμβολοσειρά βάσης64 έτσι ώστε το MegaCortex να μπορεί να εξάγει και να εισάγει ένα DLL στη μνήμη. Όταν το ransomware κρυπτογραφεί ένα αρχείο, θα προσαρτήσει την επέκταση .megac0rtx στο όνομά του και σε ένα δείκτη MEGA-G8 =, όπως φαίνεται στο σχήμα 2 παρακάτω.

Σύμφωνα με τους ερευνητές, το MegaCortex αναπτύχθηκε για να παρακολουθείται από έναν ζωντανό χάκερ και στη συνέχεια να καθαρίζεται μετά την ολοκλήρωση της εκτέλεσης, παρόμοια με τις μεθόδους που χρησιμοποιεί η LockerGoga.


Εικόνα 2. Κρυπτογράφηση αρχείων MegaCortex - Πηγή: Bleepstatic.com

Το σημείωμα λύτρας του MegaCortex ονομάζεται "!!! _ READ ME ME !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Περιέχει μηνύματα ηλεκτρονικού ταχυδρομείου των εισβολέων και οδηγίες πληρωμής. Τα ποσά λύτρας συνήθως κυμαίνονται από 2-3 bitcoins έως 600 BTC, όπως φαίνεται στο σχήμα 3 παρακάτω.


Εικόνα 3. MegaCortex Ransom Σημείωση - Πηγή: Bleepstatic.com

Μετά την ανάλυση της ρουμανικής λύσης Ryuk, οι ειδικοί της ασφάλειας δήλωσαν ότι χρησιμοποιεί τη λειτουργία Wake-on-Lan (μια δυνατότητα υλικού που επιτρέπει την ενεργοποίηση μιας συσκευής ή την ενεργοποίηση μέσω αποστολής ενός ειδικού πακέτου δικτύου σε αυτό) σε συσκευές που έχουν απενεργοποιηθεί σε ένα συμβιβασμένο δίκτυο, ώστε να έχουν μεγαλύτερη επιτυχία στην κρυπτογράφηση τους. Μόλις εκτελεστεί το Ryuk, θα δημιουργηθεί υποέργο με το όρισμα '8 LAN', όπως φαίνεται στο σχήμα 4 παρακάτω.


Εικόνα 4. Υποεπεξεργασίες αναπαραγωγής με το '8 LAN' - Πηγή: Bleepstatic.com

Στη συνέχεια, το ransomware θα σαρώσει τον πίνακα ARP της συσκευής και θα ελέγξει αν οι καταχωρήσεις είναι μέρος των υποδικτύων ιδιωτικών διευθύνσεων IP των "10.", "172.16." Και "192.168", όπως φαίνεται στο σχήμα 5 παρακάτω. Μια πτυχή που πρέπει επίσης να σημειωθεί είναι το γεγονός ότι το LockerGoga είναι σε θέση να μετεγκαταστήσει γραμμές γραμμής εντολών σε ένα φάκελο TEMP και να μετονομάσει τον εαυτό του για να αποφύγει την ανίχνευση ουσιαστικά. Το LockerGoga έχει επίσης παιδικές διεργασίες που έχουν ως στόχο την κρυπτογράφηση δεδομένων, κάτι που είναι μια μέθοδος που έχουν υιοθετήσει άλλες απειλές ransomware.


Εικόνα 5. Έλεγχος ιδιωτικού δικτύου - Πηγή: Bleepstatic.com

Σε περίπτωση που η καταχώρηση ARP ανήκει σε κάποιο από αυτά τα δίκτυα, το ransomware Ryuk θα στείλει ένα πακέτο Wake-on-Lan (WoL) στη διεύθυνση MAC της συσκευής για να το ενεργοποιήσει. Το αίτημα WoL έρχεται με τη μορφή ενός 'μαγικού πακέτου' που περιέχει 'FF FF FF FF FF FF FF FF', όπως φαίνεται στο σχήμα 6 κατωτέρω.


Εικόνα 6. Ryuk Ransomware Αποστολή ενός πακέτου WoL - Πηγή: Bleepstatic.com

Σε περίπτωση που η αίτηση WoL ήταν επιτυχής, ο Ryuk θα προσπαθήσει να προσαρτήσει το κοινόχρηστο στοιχείο διαχείρισης C $ της απομακρυσμένης συσκευής. Μόλις συνδεθεί το κοινόχρηστο στοιχείο, η μονάδα του απομακρυσμένου υπολογιστή θα κρυπτογραφηθεί επίσης.

Οι σχετικές διευθύνσεις ηλεκτρονικού ταχυδρομείου με τα ρυμοτομικά προγράμματα Ryuk είναι eliasmarco@tutanota.com και CamdenScott@protonmail.com, που περιλαμβάνονται στο σημείωμα λύτρα, όπως φαίνεται στο σχήμα 7 παρακάτω.


Εικόνα 7. Σημείωση Ryuk Ransom - Πηγή: Zdnet.com

Το LockerGoga, το οποίο έχει μοχλευτεί σχεδόν από την ίδια ομάδα χάκερ, εντοπίστηκε για πρώτη φορά τον Ιανουάριο του 2019, όταν το ransomware έπληξε τα συστήματα της γαλλικής εταιρείας Altran Technologies. Λόγω αυτής της επίθεσης, το δίκτυο της εταιρείας έπρεπε να κλείσει αμέσως.

Σύμφωνα με τους εμπειρογνώμονες του κυβερνοχώρου, τα ransomware του LockerGoga συνήθως στοχεύουν τα αρχεία DOC, DOTX, DOCB, XLM, XLSX, XLT, XLSB, XLT, PPT, PPS, PPTX, POTX, PPSX, SLDX και PDF. Ωστόσο, αν το κακόβουλο λογισμικό ξεκινήσει με το όρισμα "-w", θα επιτεθεί σε όλους τους τύπους αρχείων.

Άλλοι υποστηριζόμενοι διακόπτες είναι «-k» και «-m» για την κωδικοποίηση βάσης 64 και για την παροχή των διευθύνσεων ηλεκτρονικού ταχυδρομείου που περιλαμβάνονται στη σημείωση λύτρα.

Μετά την κρυπτογράφηση των στοχευμένων αρχείων, το LockerGoga θα προσθέσει την επεκταθείσα επέκταση σε αυτά. Αυτό σημαίνει ότι ένα αρχείο που ονομάζεται test.jpg θα κρυπτογραφηθεί για πρώτη φορά και στη συνέχεια θα μετονομαστεί σε test.jpg.locked, όπως φαίνεται στο σχήμα 8 παρακάτω.


Εικόνα 8. Κρυπτογραφημένα αρχεία LockerGoga - Πηγή: Bleepstatic.com

Όταν το ransomware κρυπτογραφεί τα αρχεία στον υπολογιστή, θα αφαιρεθεί μια σημείωση λύσης που ονομάζεται README-NOW.txt στην επιφάνεια εργασίας, η οποία περιλαμβάνει διευθύνσεις ηλεκτρονικού ταχυδρομείου για οδηγίες πληρωμής σε αντάλλαγμα για ένα κλειδί αποκρυπτογράφησης, όπως φαίνεται στο σχήμα 9 παρακάτω.


Εικόνα 9. Σημείωση για το LockerGoga Ransom - Πηγή: Bleepstatic.com

Ένα ενδιαφέρον γεγονός για το ransomware LockerGoga είναι ότι χρησιμοποιεί ένα έγκυρο πιστοποιητικό το οποίο αυξάνει τις πιθανότητες ανάπτυξης του στον υπολογιστή του θύματος χωρίς να προκαλέσει καμιά υποψία. Ωστόσο, αν λάβετε υπόψη την ειδοποίηση των Windows που ζητά την εξουσιοδότηση του πιστοποιητικού, θα παρατηρήσετε ότι κάτι δεν είναι σωστό, επειδή πρόκειται για μια διαδικασία φιλοξενίας για τις υπηρεσίες Windows και η υπογραφή προέρχεται από την MIKL Limited (μια εταιρεία συμβούλων πληροφορικής που έχει συσταθεί στο Ηνωμένο Βασίλειο στις 17 Δεκεμβρίου 2014), όπως φαίνεται στο Σχήμα 10 παρακάτω.


Εικόνα 10. Πιστοποιητικό LockerGoga - Πηγή: Bleepstatic.com

Σύμφωνα με τους ερευνητές, τα γνωστά δείγματα αρχείων για το ransomware LockerGoga μέχρι στιγμής είναι «εργαζόμενοι» και «εργαζόμενοι32» και το ransomware ξεκινά μια διαδικασία με ένα όνομα παρόμοιο με αυτό που χρησιμοποιεί η Microsoft για τις υπηρεσίες των Windows, όπως 'svch0st' svchub. '

Οι σχετικές διευθύνσεις ηλεκτρονικού ταχυδρομείου με τα ransomware της LockerGoga είναι το CottleAkela@protonmail.com και το QyavauZehyco1994@o2.pl, που περιλαμβάνονται στη σημείωση λύτρα, όπως φαίνεται στο σχήμα 11 παρακάτω.


Εικόνα 11. Σημείωση για το LockerGoga Ransom - Πηγή: Bleepstatic.com

Οι επιθέσεις Ransomware συνεχίζουν να αυξάνονται

Το γεγονός ότι τρία κομμάτια κακόβουλου λογισμικού ήταν αρκετά για να κλείσουν οι επιχειρήσεις των μεγάλων εταιρειών είναι κάτι περισσότερο από ενοχλητικό. Σύμφωνα με τους ειδικούς ασφαλείας, η επιτυχία των επιθέσεων ransomware καθιστά τους επιτιθέμενους ακόμη πιο αποφασισμένους να επιτύχουν τους στόχους τους, ενώ οι στοχευμένες επιχειρήσεις συνεχίζουν να αυξάνονται.

Η διάδοση των ransomware στα εταιρικά θύματα απέχει πολύ από το χειρότερο μέρος μιας εισβολής. Σε ορισμένες περιπτώσεις, η κρυπτογράφηση αρχείων προηγείται από την απομάκρυνση δεδομένων, η οποία μπορεί να πωληθεί σε άλλους hackers ή να χρησιμοποιηθεί για δολιοφθορά. Έτσι, όσο τα θύματα πληρώνουν τα λύτρα, οι επιθέσεις θα συνεχιστούν και το μόνο που μένει για τις εταιρείες είναι να αυξήσουν την ασφάλεια στο διαδίκτυο, προειδοποιούν οι ειδικοί του κυβερνοχώρου.

January 21, 2020
Φόρτωση...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.