Τα νέα των Ransomware, 26/3/2018

Ο λόγος για τον οποίο δεν είχαμε νέα των Ransomware την προηγούμενη εβδομάδα, ήταν απλώς επειδή δεν υπήρχαν νέα (με εξαίρεση 1-2 καινούργια στελέχη).

Και αν αυτό αρχικά φαινόταν καλό νέο, και διαβάζουμε δεξιά κι αριστερά ότι το Ransomware πέθανε, ήρθε αυτή η εβδομάδα που μας πέρασε, να διαψεύσει τους πάντες:

Μεγάλοι οργανισμοί θύματα επίθεσης, η πόλη της Atlanta στην Georgia των ΗΠΑ να δέχεται ΤΕΡΑΣΤΙΑ επίθεση από τον SamSam, συλλήψεις στην Πολωνία, νέα στελέχη με καινούργιες μεθόδους επίθεσης και πάει λέγοντας... Δεν θα το λέγαμε ακριβώς αδράνεια...

Ας τα δούμε αναλυτικά:

Ο Νecurs και ο Gamut κρύβονται πίσω από το 97% (!!!) των spam emails που κυκλοφορούν στο διαδίκτυο!

Λαμβάνετε πολλά spam email? Σας εκνευρίζουν? Προφανώς ναι και ναι.
Πίσω από τη διακίνηση των email αυτών κρύβονται δύο (όλα κι όλα) botnets, ο Necurs και ο Gamut. 

Πηγή: McAfee

Mιας και μιλάμε για spam...

Μία μεγάλη καμπάνια διασποράς του Sigma Ransomware είναι σε εξέλιξη, με τη χρήση Malspam. Παριστάνει ότι αποστέλλεται από τη δημοφιλή αμερικάνικη πλατφόρμα αγγελιών Craigslist και περιέχει είτε αρχείο word κλειδωμένο με κωδικό (..?) είτε .rtf αρχείο, τα οποία κατεβάζουν και εκτελούν τον Sigma στον Η/Υ του θύματος.

Επίθεση του SamSam στην Atlanta

O δήμαρχος της Atlanta στην Georgia των ΗΠΑ επιβεβαίωσε ότι στις 22/3/2018 η πόλη δέχτηκε μεγάλη επίθεση από τον SamSam και ότι διάφορα συστήματα των υποδομών και της διαχείρισης της πόλης κατέρρευσαν. 

Το περιστατικό θεωρείται ιδιαίτερα σοβαρό και υπήρξε ανησυχία μέχρι και για τη λειτουργία του αεροδρομίου, ενώ υπήρξαν διακοπές ρεύματος,

διακοπές στη λειτουργία του MARTA (τα ΜΜΜ της πόλης)

MARTA is currently experiencing a technical outage impacting MARTA Bid, Breeze Card, Reduced Fare and the MARTA On-the-Go sites. This issue is currently being troubleshot by MARTA IT. We do apologize for any inconvenience caused.

— MARTA (@MARTASERVICE) 22 Μαρτίου 2018

Το περιστατικό έχει αναλάβει  το FBI ενώ οι πληροφορίες λένε ότι το ποσό που ζητήθηκε σαν λύτρα ήταν $51.000.

Περισσότερα εδώ.

To R2D2 η λύση για τους Ransomware?

Επιστήμονες από το πανεπιστήμιο του Purdue έχουν εξελίξει ένα σύστημα ασφάλειας δεδομένων που το ονομάζουν R2D2 (Reactive Redundancy for Data Destruction). Μπορεί να προστατεύσει σε ποσοστό 100% τα δεδομένα που βρίσκονται μέσα σε έναν εικονικό δίσκο διαγραφή και τροποποίηση.

Συνοπτικά, το σύστημα δημιουργεί checkpoints για τον έλεγχο αν η διαδικασία είναι κακόβουλη και αν δεν πάρει τα απαραίτητα εχέγγυα, δημιουργεί snapshot των δεδομένων, μην επιτρέποντας την τροποποίησή τους.

Συλλήψεις στην Πολωνία!

Καλά νέα με τη σύλληψη του δημιουργού των Polski Ransomware, Vortex Ransomware (τον είχαμε ήδη λύσει) και του Flotera Ransomware στην Πολωνία.

Ο συλληφθείς ονομάζεται

Τα νέα των Ransomware, 12/3/2018

Για αυτήν την εβδομάδα, είχαμε την επανεμφάνιση του GandCrab με νέο στέλεχος που προς το παρόν δεν έχουμε καταφέρει να σπάσουμε :(

Είχαμε επίσης την έρευνα της CyberEdge για τους Ransomware, με απίστευτα αποτελέσματα: Οι μισοί από όσους πλήρωσαν τα λύτρα, δεν πήραν ποτέ τα δεδομένα τους :(

Ας τα δούμε αναλυτικά:

Μεγάλη καμπάνια διασπείρει GlobeImposter και GandCrab -- ΠΡΟΣΟΧΗ ΣΕ ΟΛΟΥΣ!

Υπάρχει σε εξέλιξη μεγάλη καμπάνια με malspam, εξαιρετικά επικίνδυνη, που διασπείρει τους GandCrab και GlobeImposter.
Και οι δύο Ransomware είναι εξαιρετικά δραστήριοι και δεν μπορούν να αποκρυπτογραφηθούν.
Τα email που έρχονται είναι κάπως έτσι:

Tα email που έχουν εντοπιστεί να χρησιμοποιούνται ως αποστολείς είναι:

ΠΡΟΣΟΧΗ ΣΕ ΟΛΟΥΣ!!!!
Ακολουθήστε πιστά τον οδηγό επιβίωσης που έχουμε γράψει εδώ και καιρό.
ΜΗΝ ΑΝΟΙΓΕΤΕ ΕΠΙΣΥΝΑΠΤΟΜΕΝΑ ΑΠΟ ΜΗ ΕΜΠΙΣΤΕΣ ΠΗΓΕΣ.

Νέος Gandcrab - Δυστυχώς δεν επαληθευτήκαμε

Γράψαμε την προηγούμενη εβδομάδα για τον GandCrab για τον οποίο βρέθηκε λύση, ότι οι δημιουργοί του είχαν γράψει στο DarkWeb ότι ήδη ετοιμάζουν νέα έκδοση η οποία θα είναι αδιαπέραστη.
Είχαμε πει ότι πιθανώς και να μη προλάβουν να την κυκλοφορήσουν, μιας και επίκεινται συλλήψεις.
Τελικά πρόλαβαν. 

Η νέα έκδοση είναι δυστυχώς ασφαλής, τοποθετεί την επέκταση .CRAB και έχει επανασχεδιαστεί.

Έρευνα - σοκ της CyberEdge για τους Ransomware - Μόνο το ~50% όσων πλήρωσαν τα λύτρα πήραν πίσω δεδομένα!

Σε μία πολύ ενδιαφέρουσα έρευνα της CyberEdge, γίνεται φανερό ότι οι μισοί

Τα νέα των Ransomware, 5/3/2018

Μιας και την προηγούμενη εβδομάδα τεμπελιάσαμε, σήμερα θα έχουμε τα νέα των Ransomware για δύο εβδομάδες συμπτυγμένα.

Τα μεγαλύτερα νέα αφορούν την εξεύρεση λύσης για συγκεκριμένα στελέχη του Gandcrab, ο οποίος είχε εμφανιστεί πριν από περίπου 1 μήνα και έκτοτε ήταν από τους πλέον δραστήριους Ransomware, με πολλά θύματα και στην Ελλάδα.

Ας τα δούμε αναλυτικά:

Νέος Ransomware - Thanatos

Παρά το ελληνικό του όνομα, μάλλον προέρχεται από τη Ρωσία. Το πρόβλημα είναι ότι ο Thanatos αποτελεί άλλο ένα παράδειγμα όπου οι δημιουργοί Ransomware βγάζουν στη φόρα επιμολύνσεις που δεν είναι επαρκώς δοκιμασμένες και έχουν τόσα bugs που είναι εξαιρετικά απίθανο έως αδύνατον να αποκρυπτογραφηθούν τα δεδομένα, ακόμα και αν το θύμα πληρώσει τα λύτρα.

Στην προκειμένη περίπτωση, ο Thanatos δημιουργεί ένα κλειδί για κάθε αρχείο ξεχωριστά (!). Το πρόβλημα είναι ότι αυτό το κλειδί δεν αποθηκεύεται κάπου. Επομένως, αν το θύμα πληρώσει τα λύτρα, ο επιτιθέμενος δεν έχει τρόπο να του αποκρυπτογραφήσει τα αρχεία...

Τα καλά νέα είναι ότι για συγκεκριμένους τύπους αρχείου και με δεδομένο ότι υπάρχει επάρκεια χρόνου, ίσως μπορούμε να σπάσουμε τον κωδικό για κάθε αρχείο με τη μέθοδο Brute Force.

Το άλλο ενδιαφέρον με τον συγκεκριμένο είναι ότι είναι ο πρώτος που δέχεται Bitcoin Cash ως πληρωμή.

Όπως και να έχει, όπως είπαμε ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ καθώς δεν θα σας δώσουν κλειδί αποκρυπτογράφησης, πολύ απλά γιατί κλειδί αποκρυπτογράφησης δεν υπάρχει.

Τεράστια επίθεση του SamSam στο Υπουργείο Μεταφορών στο Colorado των ΗΠΑ

Στις 21/2/2018, το Υπουργείο Μεταφορών του Κολοράντο των ΗΠΑ δέχτηκε μια μαζική επίθεση από τον SamSam, ο οποίος μόλυνε περισσότερους από 2.000 Η/Υ.

Μπορείτε να διαβάσετε περισσότερα για την επίθεση εδώ και εδώ.

Θυμίζουμε ότι ο SamSam θεωρείται από τους πιο δραστήριους Ransomware αυτήν την εποχή και διασπείρεται χειροκίνητα μέσω Remote Desktop, όπου υπάρχει αδύναμος οδηγός.

Για το λόγο αυτό γράψαμε έναν οδηγό ο οποίος μπορεί να σας βοηθήσει να δημιουργήσετε αδιαπέραστους κωδικούς, τους οποίους θα θυμάστε απ' έξω.

Λύση για τον GandCrab!!

Είχαμε αναφερθεί εκτενώς σε αυτόν [1, 2].
Τα καλά νέα είναι ότι έχουμε βρει λύση για τις περισσότερες από τις ως τώρα επιμολύνσεις.
Τα κακά νέα είναι

FakeApp ονομάζεται η εφαρμογή για Android που κλέβει τους κωδικούς του Facebook

Ένα νέο στέλεχος malware για Android συσκευές έκανε την εμφάνισή του την προηγούμενη εβδομάδα και εφιστούμε την ΠΡΟΣΟΧΗ ΣΕ ΟΛΟΥΣ.

Με τη μέθοδο του Phising, η εφαρμογή συλλέγει το όνομα χρήστη και τον κωδικό ασφαλείας του θύματός του, και άμεσα συνδέεται στον λογαριασμό του Facebook που υπέκλεψε από την ίδια συσκευή, αυτήν του θύματος, ενώ εντύπωση προκαλεί το γεγονός ότι μπορεί να χρησιμοποιήσει, αυτοματοποιημένα, ακόμα και τη λειτουργία αναζήτησης της πραγματικής εφαρμογής του Facebook!

Ονομάζεται FakeApp και εντοπίστηκε από ομάδα ερευνητών της Symantec. Η Symantec λέει ότι η εφαρμογή διανέμεται μέσα από κακόβουλες εφαρμογές που διανέμονται από αντίστοιχες ιστοσελίδες ή μέσα από άλλες εφαρμογές, παρουσιάζοντάς το FakeApp ως την legit εφαρμογή του Facebook.

Παρόλο που η εφαρμογή είναι στα αγγλικά, η Symantec αναφέρει ότι τα περισσότερα θύματα είναι στην περιοχή της Ασίας.


Χρησιμοποιεί ψεύτικη οθόνη login για να "ψαρέψει" τα συνθηματικά του χρήστη

Οι εφαρμογές που είναι μολυσμένες με το FakeApp δεν εμφανίζονται στην αρχική οθόνη του κινητού, αλλά ξεκινούν στο παρασκήνιο διεργασία η οποία ευθύνεται για την εκκίνηση της ψεύτικης οθόνης εισόδου στο Facebook. Η οθόνη αυτή εμφανίζεται σε τακτά χρονικά διαστήματα, μόνη της, μέχρι ο χρήστης να εισάγει το όνομα χρήστη και τον κωδικό πρόσβασης για τη δημοφιλή πλατφόρμα κοινωνικής δικτύωσης.

Στο σημείο αυτό είναι που η εφαρμογή κάνει τη διαφορά.

Μόλις το θύμα πληκτρολογήσει το όνομα χρήστη και τον κωδικό πρόσβασης, η εφαρμογή αφενός στέλνει τα στοιχεία αυτά στο server του επιτιθέμενου, αφετέρου τα χρησιμοποιεί για να κάνει άμεσα σύνδεση στο λογαριασμό facebook του θύματος. Η διαδικασία αυτή γίνεται αυτοματοποιημένα. 


Πώς λειτουργεί

Η εφαρμογή ξεκινάει ένα παράθυρο WebView το οποίο και το κάνει εντελώς διαφανές, τοποθετώντας alpha transparency = 0.01f - σχεδόν μηδέν.

Στη συνέχεια φορτώνει την οθόνη εισόδου στο Facebook και τοποθετεί τα στοιχεία εισόδου που πριν λίγο είχε υποκλέψει.

Αν και η Symantec δεν εξήγησε γιατί να γίνεται αυτό, πιστεύουμε ότι ο λόγος που οι επιτιθέμενοι κάνουν είσοδο στο Facebook από την ίδια συσκευή και όχι από κάποια άλλη, είναι για να αποφύγουν τα μέτρα ασφαλείας του Facebook που ενημερώνουν με μήνυμα αν εντοπιστεί είσοδος στην εφαρμογή από κάποια ξένη IP ή άγνωστο μέχρι στιγμής Η/Υ.
Χρησιμοποιώντας την ίδια συσκευή, ο επιτιθέμενος παρακάμπτει αυτό το πρόβλημα.

Σε αυτό το σημείο το FakeApp συλλέγει πληροφορίες από το προφιλ του θύματος, όπως τα στοιχεία εκπαίδευσης, εργασίας, τις επαφές, το βιογραφικό, στοιχεία οικογένειας, γεγονότα, "Μου αρέσει", γκρουπς, ποσταρίσματα, σελίδες κλπ. Με άλλα λόγια, συλλέγει ολόκληρη τη δραστηριότητα του θύματος.


Symantec: Είναι υψηλής ευφυΐας

"Η λειτουργία μέσω της οποίας σκανάρει όλο το Facebook προφιλ και συλλέγει πληροφορίες μας έχει εκπλήξει με την ιδιαιτερότητα και την ευφυΐα της", δήλωσαν ο Martin Zhang και ο Shaun Aimoto, οι δύο ερευνητές της Symantec που ανέλυσαν το FakeApp. 

"Η λειτουργία της χρήσης της αναζήτησης του Facebook με αυτοματοποιημένο τρόπο μας προκάλεσε επίσης έκπληξη", δήλωσαν. 

"Επιπροσθέτως, χρησιμοποιεί εντολές Ajax προκειμένου να συλλέξει πληροφορίες που υπό άλλες συνθήκες δεν θα ήταν δυνατόν, γιατί τα αποτελέσματα αυτά είναι δυναμικά" συμπλήρωσαν οι ερευνητές της Symantec. 

Να πούμε, τέλος, ότι τέτοιου είδους τεχνική και συμπεριφορά δεν έχουμε συναντήσει σε άλλα malware για Android συσκευές. Είναι πολύ περίεργο που το FakeApp δεν επιδιώκει σε κάποιο σημείο του το κέρδος, αφού δεν χρησιμοποιεί ransom ή extort τεχνικές.
Πιθανώς, ο σκοπός να είναι η δημιουργία βάσης δεδομένων χρηστών, αναλύοντας την οποία να μπορέσουν να εντοπίσουν κάποιο άτομο που θα τους κινήσει το ενδιαφέρον...

Σε κάθε περίπτωση εφιστούμε την προσοχή σε όλους. 
Κατεβάζετε εφαρμογές μόνο από έμπιστες πηγές (πχ. Play Store) και όχι από τρίτες σελίδες. 



Ευχαριστούμε την BleepingComputer για την παροχή υλικού.