Σάββατο, 21 Οκτωβρίου 2017

Τα νέα των Ransomware, 21/10/2017


Και αυτήν την εβδομάδα είχαμε αρκετά μικρά στελέχη να εμφανίζονται ή να επανεμφανίζονται, τα μεγάλα νέα όμως ήταν η εμφάνιση του Magniber και η χρήση του Hermes Ransomware σαν βιτρίνα για τη ληστεία σε μία τράπεζα στην Ταϊβάν. 

Ας τα δούμε αναλυτικά:

ΒορειοΚορεάτες πίσω από τη ληστεία τράπεζας στην Ταϊβάν

Μην φανταστείτε ότι μπήκαν με όπλα και ζήτησαν από τους υπαλλήλους να αδειάσουν τα ταμεία.
Η ιστορία έχει ως εξής, και είναι ιδιαίτερα ενδιαφέρουσα:

Πίσω από τη ληστεία, σύμφωνα με όλες τις ενδείξεις, κρύβεται η σπείρα Lazarous Group, μία ομάδα hackers από τη Βόρεια Κορέα.

Στις αρχές του μήνα, υπεύθυνοι της τράπεζες FEIB (Far Eastern International Bank) στην Ταϊβάν, ανακάλυψαν ότι έχει γίνει παραβίαση στα συστήματα της τράπεζας. Η παραβίαση είχε ως στόχο τη μεταφορά 60 εκατομμυρίων δολλαρίων (!) σε τράπεζες της Σρι Λάνκα, της Καμπότζης και των ΗΠΑ.


Οι επιτιθέμενοι έστειλαν email με παγιδευμένα αρχεία Word και Excel σε εργαζόμενους της τράπεζας. Τα αρχεία αυτά, με το άνοιγμά τους, εγκαθιστούσαν το ζητούμενο Malware. Στη συνέχεια, χρησιμοποιώντας SMB μπήκαν πρακτικά στο δίκτυο της τράπεζας.

Αφού χαρτογράφησαν το δίκτυο της τράπεζας και στόχευσαν Η/Υ που κατείχαν ευαίσθητο υλικό, τους έστειλαν άλλο malware το οποίο είχαν φτιάξει οι ίδιοι. Αυτή η επίθεση συνέβη την 1/10/17.


Στις 3/10, οι Lazarus χρησιμοποίησαν το συνθηματικό πρόσβασης ενός υπαλλήλου της τράπεζας και απέκτησαν πρόσβαση στον λογαριασμό SWIFT. Έτσι, έστειλαν χρήματα σε διαφορετικές τράπεζες της Σρι Λάνκα, της Καμπότζης και των ΗΠΑ.
Εκεί έγινε και το λάθος των Lazarus, που οδήγησε στην αποκάλυψη της παραβίασης από την τράπεζα: Χρησιμοποίησαν τους κωδικούς συναλλαγής MT103 και MT202COV, όμως τους τελευταίους τους τοποθέτησαν λανθασμένα.


Μόλις η FEIB ανακάλυψε την παραβίαση, οι Lazarus εξαπέλησαν στο δίκτυο της τράπεζας τον Hermes Ransomware με σκοπό να κρυπτογραφήσουν και να καταστρέψουν τα αποδεικτικά στοιχεία της εισβολής τους.

Να πούμε ότι ο Hermes είναι ένας Ransomware που κυκλοφόρησε το Φεβρουάριο και λίγο αργότερα βρέθηκε λύση και μπόρεσε να αποκρυπτογραφηθεί. Όμως, οι δημιουργοί του έφτιαξαν λίγο αργότερα την έκδοση 2.0, για την οποία δεν υπάρχει λύση παγκοσμίως.


Οι Lazarus πάντως δεν εξαπέλησαν την έκδοση 2.0, αλλά μία τροποποιημένη έκδοσή της. Αντί να αφήνει αυτό, που είναι το κλασικό Ransom Note του Hermes,


άφηνε ένα popup που απλά έλεγε Finish Work και ένα αρχείο "Unique_id_do_not_remove" σε κάθε φάκελο του Η/Υ.

Οι αρχές της Σρι Λάνκα ανέφεραν για το περιστατικό, ότι συνέλαβαν ένα άτομο το οποίο έκανε ανάληψη Rs30.000.000 (~$195.000) και δύο μέρες αργότερα επιχείρησε να "σηκώσςει" άλλες $52.000 που προέρχονταν από την Ταϊβάν, σε 3 διαφορετικούς λογαριασμούς σε τράπεζα της Ceylon.


Τρίτη, 17 Οκτωβρίου 2017

Ανάκτηση δεδομένων από SandForce SSDs!!


Η Northwind Data Recovery είναι στην ευχάριστη θέση να ανακοινώσει ότι είναι η μοναδική εταιρία ανάκτησης δεδομένων στην Ελλάδα και από τις ελάχιστες στον κόσμο που είναι σε θέση να ανακτήσει δεδομένα από δίσκους SSD που βασίζονται στον περιβόητο Controller της SandForce!

O SandForce είναι ο Controller που χρησιμοποιούν οι μεγαλύτεροι κατασκευαστές SSD στον κόσμο (Intel, Adata, Corsair, Kingston, OCZ, PNY, Silicon Power κλπ) και μέχρι πρότινως θεωρούνταν μη-ανακτήσιμοι λόγω της πολυπλοκότητας του αλγόριθμου που χρησιμοποιούν και της AES-256 κρυπτογράφησης που εφαρμόζουν.

Στη Northwind Data Recovery είμαστε περήφανοι που ανακοινώνουμε την εξεύρεση λύσης σε αυτό το ζήτημα που ταλαιπωρούσε την κοινότητα της ανάκτησης δεδομένων για πολλά χρόνια.

Έχουμε αναπτύξει τεχνική με την οποία η ανάκτηση δεδομένων από τέτοιους δίσκους είναι πλέον δυνατή, με εξαιρετικά αποτελέσματα, που ξεπερνούν το 90%!



Η διαδικασία είναι, πάντως, εξαιρετικά χρονοβόρα, μπορεί να χρειαστούν 7-8 εβδομάδες για την επίλυση ή και παραπάνω για πιο πολύπλοκες βλάβες.

Η τεχνική εφαρμόζεται με επιτυχία σε όλους τους SSD δίσκους με Sandforce controller, όλων των κατασκευαστών.


Για περισσότερες πληροφορίες, ελάτε σε επικοινωνία μαζί μας!

Ενδεικτικά, μερικά από τα μοντέλα SSD που χρησιμοποιούν τον εν λόγω Controller είναι:

Δευτέρα, 16 Οκτωβρίου 2017

Τα νεα των Ransomware, 15/10/2017


Σε σχέση με την προηγούμενη εβδομάδα που ήταν πολύ ήσυχη, αυτή είχε και πάλι αυξημένη δραστηριότητα.
Είδαμε  πολλούς νέους Ransomware, οι περισσότεροι από αυτούς είναι δοκιμαστικοί και κατά πάσα πιθανότητα δεν θα κυκλοφορήσουν ποτέ, είδαμε όμως και μία νέα έκδοση του Locky, μία νέα έκδοση του CryptoMix....
Τα μεγάλα νέα έχουν να κάνουν με τον DoubleLocker, έναν Ransomware για Android, ο οποίος χρησιμοποιεί ενδιαφέρουσες παλιές και νέες τεχνικές.

Ας τα δούμε αναλυτικά:



Καμπάνια SPAM στέλνει "βιογραφικά", προωθεί τον GlobeImposter 


Η Myonlinesecurity.co.uk κυκλοφόρησε μια ενδιαφέρουσα ανάλυση σχετικά με τα δήθεν βιογραφικά που στέλνει κάποιος ενδιαφερόμενος για εξεύρεση εργασίας, τα οποία βιογραφικά είναι της μορφής .doc και διασπείρουν τον GlobeImposter Ransomware.

Όταν κάποιος ανοίξει το επισυναπτόμενο, συνδέεται και κατεβάζει το http://89.248.169.136/bigmac.jpg, το οποίο φυσικά δεν είναι αρχείο εικόνας αλλά καμουφλαρισμένο εκτελέσιμο και συγκεκριμένα το ASdsadASd.exe. 

Μπορείτε να διαβάσετε όλη την ανάλυση εδώ.


Νέος Ransomware: LockOn

Είναι μάλλον υπό κατασκευή αλλά δουλεύει σωστά, τοποθετεί την επέκταση .lockon στα κρυπτογραφημένα αρχεία.


Δευτέρα, 9 Οκτωβρίου 2017

Τα νέα των Ransomware, 9/10/17


Ξεκινήσαμε το Μάιο του 2016 να αναλύουμε και να γράφουμε για τους Ransomware. Να τους πολεμάμε και να ψάχνουμε για αδυναμίες στον κώδικά τους με σκοπό να βρούμε λύσεις και να βοηθήσουμε όσους έχουν πέσει θύματα επιτηδείων.

Είναι η πρώτη εβδομάδα που έχουμε όλο κι όλο 6 (έξι) νέα να αναφέρουμε!


Ελπίζουμε αυτό να σημαίνει ότι οι κατασκευαστές των Ransomware να βαρέθηκαν και να σταματήσουν την δημιουργία και διασπορά τους, όμως μάλλον είναι απλά η νηνεμία πριν την καταιγίδα, δυστυχώς.


Έχουμε μία επίθεση Ransomware σε Κέντρο Υγείας και μία σε ένα δημοτικό δίκτυο του Colorado.

Ας τα δούμε αναλυτικά..


Απάτη: "Ransomware Detected"

Εμφανίστηκε αυτή η απάτη, η οποία εμφανίζει στο browser μήνυμα ότι ο υπολογιστής έχει μολυνθεί από Ransomware. Είναι η κλασική απάτη που ζητούν να καλέσει το θύμα ένα νούμερο, όπου είτε χρεώνουν τεράστια ποσά στο λογαριασμό, είτε γίνεται απευθείας συνομιλία με τους απατεώνες, οι οποίοι παριστάνουν τους ειδικούς σε θέματα ασφάλειας Η/Υ και ζητούν χρήματα για να μπουν στον Η/Υ με απομακρυσμένη σύνδεση για να "λύσουν το πρόβλημα". Φυσικά κάτι τέτοιο είναι πολύ επικίνδυνο, ΜΗ ΔΙΝΕΤΕ ΑΠΟΜΑΚΡΥΣΜΕΝΗ ΠΡΟΣΒΑΣΗ ΣΕ ΑΤΟΜΑ ΠΟΥ ΔΕΝ ΓΝΩΡΙΖΕΤΕ!



Τετάρτη, 4 Οκτωβρίου 2017

Ανάκτηση δεδομένων μετά από πλημμύρα!


Στα εργαστήρια της Northwind Data Recovery κατέφθασε σκληρός δίσκος ο οποίος προερχόταν από τη Σαμοθράκη, μετά τις πρόσφατες καταστροφικές πλημμύρες που είχε υποστεί το νησί πριν από λίγες μέρες.




Ο δίσκος ήταν μέλος συστοιχίας RAID με δύο δίσκους και η εικόνα τους πριν τους παραλάβουμε ήταν αυτή...


Οι Η/Υ ήταν βουλιαγμένοι στη λάσπη, ως εκ τούτου και οι σκληροί δίσκοι είχαν επηρεαστεί αντίστοιχα.

Παραλάβαμε τους δίσκους και αφού τους καθαρίσαμε τόσο εξωτερικά, όσο και στα ηλεκτρονικά τους μέρη (τα οποία ήταν σε τραγική κατάσταση)