Moneybird Ransomware, naudojama atakuojant Izraelio subjektus

ransomware

„Agrius“, Irano įsilaužėlių grupė, dar žinoma kaip „Pink Sandstorm“ ir anksčiau buvusi „Americium“, sukūrė naujo tipo išpirkos reikalaujančią programinę įrangą, vadinamą „Moneybird“. „CheckPoint“ tyrėjai aptiko šią pavojingą kenkėjišką programą, kuri reiškia reikšmingą „Agrius“ taktikos pokytį, nes dabar jie taikosi į Izraelio organizacijas.

„Agrius“ anksčiau vykdė destruktyvias Izraelio subjektų duomenų naikinimo atakas, dažnai maskuodamas jas kaip „ransomware“ užkratas. „Moneybird“ kūrimas, užprogramuotas C++ kalba, parodo grupės besiplečiančius įgūdžius ir nuolatinį įsipareigojimą kurti naujus kibernetinius įrankius.

Bent jau nuo 2020 m. gruodžio mėn. „Agrius“ buvo atsekta iki žlugdančių įsibrovimų, nukreiptų į deimantų pramonę Pietų Afrikoje, Izraelyje ir Honkonge. Anksčiau grupė naudojo .NET pagrįstą išpirkos reikalaujančią programinę įrangą, vadinamą Apostle, kuri vėliau išsivystė į „Fantasy“. Tačiau „Moneybird“, užkoduotas C++, demonstruoja besivystančias grupės kibernetines galimybes.

Moneybird – dauginimasis ir veikla

„Moneybird“ išpirkos reikalaujanti programa rodo didėjančią „Agrius“ techninę patirtį ir atsidavimą kuriant naujus kibernetinius įrankius. Jame naudojama sudėtinga atakų metodika, kuri prasideda išnaudojant viešai atskleistų žiniatinklio serverių pažeidžiamumą. Šis pradinis išnaudojimas leidžia įdiegti ASPXSpy žiniatinklio apvalkalą, kuris yra pirmasis įėjimo taškas į tikslinės organizacijos tinklą.

Patekęs į vidų, žiniatinklio apvalkalas veikia kaip komunikacijos kanalas, suteikiantis gerai žinomų įrankių rinkinį, skirtą išsamiai žvalgybai, judėjimui į šoną, kredencialų surinkimui ir jautrių duomenų išfiltravimui aukos aplinkoje.

Vėliau „Moneybird“ išpirkos reikalaujanti programinė įranga yra įdiegta pažeistame pagrindiniame kompiuteryje ir konkrečiai taikoma slaptiems failams aplanke „F:\User Shares“. Vykdant išpirką, išpirkos programa palieka išpirkos raštelį, spaudžiant aukas susisiekti per 24 valandas arba rizikuoja, kad pavogti duomenys bus viešai nutekinti.

Moneybird šifravimui naudoja AES-256 su GCM, naudodama sudėtingą techniką, kuri kiekvienam failui generuoja unikalius šifravimo raktus. Užšifruoti metaduomenys pridedami prie kiekvieno failo pabaigos, todėl duomenų atkūrimas ir iššifravimas daugeliu atvejų yra labai sudėtingas, o gal net neįmanomas.

Kas yra pažengę nuolatinės grėsmės veikėjai arba APT?

Pažangūs nuolatiniai grėsmių veikėjai (angl. Advanced Persistent Threat Actors – APT) – tai sudėtingi ir aukštos kvalifikacijos grėsmių veikėjai arba įsilaužimo grupės, vykdančios ilgalaikes tikslines kibernetines atakas prieš konkrečias organizacijas, dažnai remiamos tautinių valstybių arba pakankamai išteklių turinčių subjektų. APT pasižymi pažangiomis technikomis, atkaklumu ir ketinimu įsiskverbti į tikslines sistemas ir jas pažeisti ilgą laiką, dažnai nepastebimai.

Štai keletas pagrindinių su APT susijusių savybių ir bruožų:

  • Pažangios technologijos: APT veikėjai naudoja pažangias įsilaužimo technologijas, įskaitant nulinės dienos išnaudojimą, tinkintą kenkėjišką programinę įrangą, šaknų rinkinius ir sudėtingą socialinės inžinerijos taktiką. Jie nuolat tobulina savo metodus, kad išvengtų saugumo priemonių ir išlaikytų prieigą.
  • Patvarumas: APT yra įsipareigoję siekti savo tikslų ir išlaikyti ilgalaikį buvimą pažeistose sistemose. Jie gali nustatyti kelis įėjimo taškus, sukurti užpakalines duris ir naudoti slaptus ryšio kanalus, kad išlaikytų atkaklumą.
  • Tikslinės atakos: APT sutelkia dėmesį į konkrečius taikinius, tokius kaip vyriausybinės agentūros, gynybos rangovai, ypatingos svarbos infrastruktūra, mokslinių tyrimų institucijos ar tarptautinės korporacijos. Jie atlieka nuodugnią žvalgybą, siekdami surinkti žvalgybos informaciją ir pritaikyti savo atakas, kad išnaudotų specifinius taikinio infrastruktūros pažeidžiamumus.
  • Nacionalinės valstybės parama: APT dažnai siejama su nacionalinėmis valstybėmis arba valstybės remiamais subjektais, siekiančiais politinių, ekonominių ar karinių pranašumų. Jie gali turėti didelius išteklius, žvalgybos pajėgumus ir teisinę apsaugą, leidžiančią vykdyti plačias ir ilgalaikes kampanijas.
  • Duomenų išskyrimas: pagrindinis APT tikslas yra išfiltruoti vertingus duomenis, įskaitant intelektinę nuosavybę, komercines paslaptis, įslaptintą informaciją arba asmens identifikavimo informaciją (PII). Pavogti duomenys gali būti naudojami šnipinėjimui, ekonominei naudai, konkurenciniam pranašumui ar būsimoms kibernetinėms operacijoms.
  • Slaptos operacijos: APT pirmenybę teikia žemo profilio palaikymui ir aptikimo vengimui. Jie naudoja sudėtingas vengimo technologijas, tokias kaip antikriminalistinės priemonės, šifravimas ir užmaskavimas, kad paslėptų savo veiklą ir išvengtų apsaugos sistemų.

Gerai žinomų APT grupių pavyzdžiai yra APT29 (taip pat žinomas kaip Cozy Bear arba The Dukes), APT28 (taip pat žinomas kaip Fancy Bear arba Sofacy), Equation Group, Comment Crew ir Lazarus Group.

Iki Zaib m
May 26, 2023
Ransomware
Lietuvių
May 26, 2023
Ransomware

Populiarūs skelbimai

„Microsoft“ įspėja, kad valstybės remiami grėsmės veikėjai...

5 days atgal

Trojan Al11 kenkėjiškų programų aptikimas

11 months atgal

Iššokantieji langai „Į jūsų „iCloud is Being Hacked“ ir „Your...

7 months atgal

„Pinaview“ yra visapusiška reklaminių programų programa

10 months atgal

Kas yra Lucky Ransomware?

7 months atgal

„American Express – atnaujinkite paskyros informaciją“ el....

6 months atgal
Lietuvių
Įkeliama ...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Namai

Products

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Palaikymas

Help Files DUK Downloads Inquiries & Support

Bendrovė

Apie mus Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privatumo politika Slapukų politika Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

„Windows“ yra „Microsoft“ prekės ženklas, registruotas JAV ir kitose šalyse.
„Mac“, „iPhone“, „iPad“ ir „App Store“ yra „Apple Inc.“ prekių ženklai, registruoti JAV ir kitose šalyse.
„iOS“ yra registruotas „Cisco Systems, Inc.“ ir (arba) jos filialų JAV ir tam tikrose kitose šalyse prekės ženklas.
„Android“ ir „Google Play“ yra „Google LLC“ prekių ženklai.