Az izraeli entitások elleni támadásokban használt Moneybird Ransomware

ransomware

Az Agrius, egy iráni hackercsoport, amelyet Pink Sandstormként és korábban Americiumként is ismertek, kifejlesztett egy új típusú zsarolóvírust, Moneybird néven. A CheckPoint kutatói felfedezték ezt a veszélyes kártevőt, ami jelentős változást jelent az Agrius taktikájában, mivel immár izraeli szervezeteket céloznak meg.

Az Agrius korábban végrehajtott pusztító adattörlési támadásokat izraeli entitások ellen, gyakran ransomware-fertőzésnek álcázva ezeket. A C++ nyelven programozott Moneybird fejlesztése bemutatja a csoport bővülő készségeit és folyamatos elkötelezettségét a friss kibereszközök létrehozása iránt.

Legalább 2020 decembere óta az Agrius a dél-afrikai, izraeli és hongkongi gyémántipar megzavarására irányuló behatolásokra vezethető vissza. A múltban a csoport az Apostle nevű .NET-alapú ransomware-t használta, amely később Fantasy-vé fejlődött. A C++ nyelven kódolt Moneybird azonban bemutatja a csoport fejlődő kiberképességeit.

Moneybird – Szaporodás és tevékenység

A Moneybird ransomware művelet az Agrius növekvő technikai szakértelmét és elkötelezettségét mutatja az új kibereszközök fejlesztése iránt. Kifinomult támadási módszertant alkalmaz, amely a nyilvánosan hozzáférhető webszerverek sebezhetőségeinek kihasználásával kezdődik. Ez a kezdeti kihasználás lehetővé teszi egy ASPXSpy web shell telepítését, amely első belépési pontként szolgál a célszervezet hálózatába.

A bejutást követően a web shell kommunikációs csatornaként működik, amely jól ismert eszközöket szállít a mélyreható felderítéshez, az oldalirányú mozgáshoz, a hitelesítő adatok begyűjtéséhez és az érzékeny adatok kiszűréséhez az áldozat környezetében.

Ezt követően a Moneybird ransomware telepítésre kerül a feltört gazdagépen, és kifejezetten az „F:\User Shares” mappában található érzékeny fájlokat célozza meg. A kivégzéskor a zsarolóprogram váltságdíjat hagy maga után, és arra kényszeríti az áldozatokat, hogy 24 órán belül lépjenek kapcsolatba, különben kockáztatják, hogy ellopott adataik nyilvánosan kiszivárogjanak.

A Moneybird az AES-256-ot és a GCM-et használja a titkosításhoz, olyan kifinomult technikát alkalmazva, amely minden fájlhoz egyedi titkosítási kulcsokat generál. A titkosított metaadatok minden fájl végéhez hozzá vannak fűzve, így az adatok visszaállítása és visszafejtése a legtöbb esetben nagy kihívást jelent, ha nem lehetetlen.

Mik azok a haladó állandó fenyegetés szereplői vagy APT-k?

Az Advanced Persistent Threat Actors (APT-k) kifinomult és magasan képzett fenyegető cselekvők vagy hackercsoportok, amelyek hosszú távú, célzott kibertámadásokat hajtanak végre meghatározott szervezetek ellen, gyakran nemzetállamok vagy jó erőforrásokkal rendelkező entitások támogatásával. Az APT-ket fejlett technikáik, kitartásuk és a célzott rendszerekbe való beszivárgási szándékuk és hosszú távú kompromittálási szándékuk jellemzi, gyakran észrevétlenül.

Íme néhány, az APT-kkel kapcsolatos legfontosabb jellemzők és tulajdonságok:

  • Speciális technikák: Az APT szereplői fejlett hackelési technikákat alkalmaznak, beleértve a nulladik napi exploitokat, az egyéni rosszindulatú programokat, a rootkiteket és a kifinomult social engineering taktikákat. Folyamatosan fejlesztik módszereiket a biztonsági intézkedések megkerülésére és hozzáférésük fenntartására.
  • Kitartás: Az APT-k elkötelezettek céljaik elérése és hosszú távú jelenlét fenntartása mellett a veszélyeztetett rendszerekben. Több belépési pontot is létrehozhatnak, hátsó ajtókat hozhatnak létre, és lopakodó kommunikációs csatornákat használhatnak a kitartás fenntartása érdekében.
  • Célzott támadások: Az APT-k meghatározott célpontokra összpontosítanak, például kormányzati szervekre, védelmi vállalkozókra, kritikus infrastruktúrákra, kutatóintézetekre vagy multinacionális vállalatokra. Alapos felderítést hajtanak végre, hogy intelligenciát gyűjtsenek, és a támadásaikat úgy alakítsák ki, hogy kihasználják a célpont infrastruktúráján belüli bizonyos sebezhetőségeket.
  • Nemzetállami támogatás: Az APT-ket gyakran nemzetállamokkal vagy államilag támogatott szervezetekkel kapcsolják össze, akik politikai, gazdasági vagy katonai előnyöket keresnek. Jelentős erőforrásokkal, hírszerzési képességekkel és jogi védelemmel rendelkezhetnek, ami lehetővé teszi számukra, hogy kiterjedt és hosszan tartó kampányokat hajtsanak végre.
  • Adatok kiszűrése: Az APT-k elsődleges célja értékes adatok kiszűrése, beleértve a szellemi tulajdont, az üzleti titkokat, a minősített információkat vagy a személyes azonosításra alkalmas információkat (PII). Az ellopott adatok felhasználhatók kémkedésre, gazdasági haszonszerzésre, versenyelőnyre vagy jövőbeli kiberműveletekre.
  • Titkos műveletek: Az APT-k előnyben részesítik az alacsony profil fenntartását és az észlelés elkerülését. Kifinomult kijátszási technikákat alkalmaznak, például kriminalisztika elleni intézkedéseket, titkosítást és elhomályosítást tevékenységeik elrejtésére és a biztonsági rendszerek kijátszására.

A jól ismert APT-csoportok közé tartozik például az APT29 (más néven Cozy Bear vagy The Dukes), az APT28 (más néven Fancy Bear vagy Sofacy), az Equation Group, a Comment Crew és a Lazarus Group.

Zaib -Ig
May 26, 2023
Ransomware
Magyar
May 26, 2023
Ransomware

Népszerű Bejegyzések

A Microsoft arra figyelmeztet, hogy az állam által támogatott...

5 days ezelőtt

Trojan Al11 Malware Detection

11 months ezelőtt

„Az iCloudját feltörték” és „Az iPhone-ját feltörték” előugró...

7 months ezelőtt

A Pinaview egy teljes funkcionalitású adware alkalmazás

10 months ezelőtt

Mi az a Lucky Ransomware?

7 months ezelőtt

„American Express – Frissítse fiókinformációit” E-mail átverés

6 months ezelőtt
Magyar
Betöltés...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Itthon

Termékek

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Támogatás

Súgó fájlok GYIK Downloads Inquiries & Support

Vállalat

Rólunk Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Adatvédelmi irányelvek Cookie-szabályzat Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

A Windows a Microsoft védjegye az Egyesült Államokban és más országokban.
A Mac, az iPhone, az iPad és az App Store az Apple Inc. védjegye az Egyesült Államokban és más országokban.
Az iOS a Cisco Systems, Inc. és/vagy leányvállalatainak bejegyzett védjegye az Egyesült Államokban és bizonyos más országokban.
Az Android és a Google Play a Google LLC védjegye.