­­­­

Плохие парни делают все возможное, чтобы заработать деньги. В рамках его Вымогатели его-услуга, Revil в настоящее время расширяет свои услуги для оказания помощи в фазе вымогательства.

 REvil / Sodinkibi был крупным игроком на рынке RWaaS, предоставляя своим аффилированным «плохим парням» функциональные вредоносные программы-вымогатели и платежный сайт. Они полагаются на партнера для атаки, проникновения и компрометации сетей жертвы с целью развертывания программы-вымогателя. Такое разделение обязанностей приносит REvil где-то между 20-30% выкупа, а аффилиат забирает оставшуюся часть домой. Таким образом, обеим сторонам выгодно, чтобы выкуп, во-первых, был уплачен, а во-вторых, был как можно больше. Кража данных и вымогательство у организации-жертвы для оплаты или публикации украденных данных росли за последний год с тех пор, как Maze впервые увидел их в использовании. Но новый поворот в саге о вымогательстве - запуск службы звонков, где REvil будет звонить жертвам организаций, деловым партнерам, местным СМИ и т. Д., Чтобы выявить атаку и заставить организацию заплатить, чтобы возобновить свою деятельность.

Новые данные показывают, что теперь стало ясно, что самая большая проблема с программами- вымогателями (сразу после прекращения вашей операции) - это все необходимые затраты, понесенные на попытки устранить беспорядок после атаки. Если ваша организация не была поражена программой-вымогателем, считайте, что вам повезло. Поверьте мне, когда я говорю, что это не то, что бизнес хочет испытать. Согласно подразделению безопасности Palo Alto Network, Unit42, в их последнем отчете об угрозах вымогателей за 2021 год подробно говорится, что злоумышленники больше не удовлетворены методом спрея и молитвы для проникновения в большую часть сети жертвы. Вместо этого они «[не торопятся], чтобы изучить жертв и их сети, следуя более традиционному подходу к проникновению в сеть».

Согласно отчету, требования выкупа в 2020 году достигли почти 850000 долларов, при этом средний размер выкупа в 2020 году увеличился почти втрое до 312000 долларов по сравнению со средним показателем 2019 года, составляющим всего 115000 долларов. Кроме того, Unit42 выделил дополнительные затраты на криминалистику после атаки, чтобы помочь организациям-жертвам разработать стратегию реагирования и план выполнения. Средние затраты на судебную экспертизу составили 40 719 долларов для малого и среднего бизнеса и 207 875 долларов для более крупных предприятий. И это в дополнение к выплаченному выкупу. Мы также видели, что общая стоимость удваивается, когда выкуп не выплачивается . Итак, здесь нет хорошего ответа, кроме как полностью не стать жертвой. RDP и фишинговые атаки остаются наиболее распространенными начальными векторами атак для программ-вымогателей, что ставит обучение осведомленности о безопасности на первое место в списке приоритетов как средство уменьшения поверхности угрозы фишинговых атак. 

(24 марта 2021) 

 Ранее на этой неделе Microsoft говорит, что 92 процента уязвимых локальных обменных серверов применили смягчения или исправлены против критических недостатков проксилогена. Организации следует отметить, что установка патчей не устраняет инфекцию, если серверы были скомпрометированы на серверах до исправления. ИТ-администраторы должны проверить системы для показателей компромисса (МОК). Microsoft выпустила исправления для четырех уязвимостей 2 марта. 

Примечание редактора 

 Примечание 

Температура смягчения последствий 92% действительно впечатляет, если она не связана с злоумышленниками, смягчающимися уязвимостью, чтобы удерживать на серверах, которые они скомпрометировали. Опять же: очень важно расследовать серверы Exchange подробно при исправлении. Компромисс предварительного патча очень вероятно. 

[Neely]

 Директива по чрезвычайным ситуациям DHS (ED 21-02) требует криминалистики и анализа системы до исправления, чтобы избежать этого сценария. Настолько легко попасть в жару момента и забыть проверить на компромисс, прежде чем исправить уязвимость. Если вы пропустили чек, запустите инструменты от CISA или Microsoft, чтобы убедиться, что вы чистые, затем пересекайте проверку со своим SIEM. Также убедитесь, что защита вашей конечной точки наблюдает за эксплуатацией в режиме реального времени. Примечание Windows Defender включает в себя эту возможность, если ваше текущее решение не делает. 

[Пескаторе] 

Это уже давно является ведущим показателем по безопасности процессов / программ безопасности по сравнению с соблюдением. После обнаружения уязвимости вы проверяете, был ли его эксплуатации, прежде чем вы обнаружить и смягчить уязвимость? Старый пример: шлюз веб-безопасности обновляется с большим количеством URL-адресов вредоносных и / или скомпрометированных веб-сайтов - проверил ли вы, если какие-либо внутренние машины сообщаются с недавно обнаруженными злыми местами? 

Приложение, доступное на нескольких сайтах и платформах, транслировало видео и телеканалы. 

Опубликовано: 11 мар 2021 

Европол поддержал Испанскую национальную полицию (Policía Nacional) в ликвидации преступной группировки, распространяющей незаконные видеопотоки. В расследовании также участвовали правоохранительные органы Андорры и Португалии. 

Расследование началось в октябре 2018 года, когда испанская национальная полиция получила отчеты о жалобах от ассоциаций кинокомпаний, Футбольной ассоциации Претории, Премьер-лиги и Испанской футбольной лиги (La Liga Espanola de Fútbol) на мобильное приложение, незаконно распространяющее видеопотоки. Приложение, загруженное более 100 миллионами пользователей через разные сайты, незаконно предлагало потоковое видео и телеканалы.Расследование выявило ряд подключенных веб-сайтов и платформ, расположенных в Испании и Португалии, с подключениями к серверам в Чехии. Испанская компания, стоящая за незаконной деятельностью, получала прибыль за счет рекламы. Благодаря компьютерной инфраструктуре и мощности они могли продавать информацию о пользователях компании, связанной с ботнетами и DDoS-атаками. По оценкам следователей, общая сумма незаконной прибыли превышает 5 миллионов евро. 

Полученные результаты 

∙ 3 обыска домов (2 в Испании и 1 в Андорре) 

∙ 4 судебных постановления о закрытии доменов 

∙ 20 веб-доменов и серверов заблокированы 

∙ 4 ареста (3 в Испании и 1 в Андорре) 

∙ Банковские счета заморожены 

∙ 1 сервер отключен в Португалии, еще один находится под следствием в Чехии.Европол поддержал расследование оперативной координацией и анализом. Европол поддержал день действий, развернув виртуальный командный пункт. Это обеспечило оперативную координацию, также поддерживаемую Евроюстом. В течение дня действия эксперты Европола перепроверили оперативную информацию в режиме реального времени и оказали поддержку следователям на местах. 

(23 февраля 2021 г.) 

Финский поставщик ИТ-услуг TietoEVRY был вынужден отключить обслуживание 25 клиентов после того, как его сеть была атакована программой-вымогателем. TietoEVRY связался с властями и расследует инцидент 

Примечание.

 Данная компания выпустила очень хороший релиз данного события, см. ниже 

Понедельник 22 - го февраля 2021 года TietoEVRY возникли технические проблемы в ряде услуг , которые мы предоставляем до 25 клиентов в розничной торговле, производстве и сервисных отраслей. Исследования показали, что причиной инцидента стала атака программы-вымогателя, и поэтому мы рассматриваем это как серьезное преступное деяние. 

Из-за программы-вымогателя затронутые инфраструктура и службы были отключены. Вместе с пострадавшими клиентами и нашими партнерами мы работаем над тем, чтобы восстановить операции в кратчайшие сроки. Все затронутые клиенты были проинформированы, и им регулярно сообщают о ходе работы.

TietoEVRY также поддерживает контакты с соответствующими местными властями, включая Норвежское управление национальной безопасности (NSM) и NorCert по этому поводу.

Требование выкупа является серьезным преступным деянием, поэтому мы сообщили об этом случае в полицию. Мы также рекомендуем нашим клиентам сделать то же самое.

«TietoEVRY очень серьезно относится к ситуации и делает все возможное, чтобы решить ее и как можно скорее восстановить затронутые услуги. Мы активировали расширенную команду с необходимыми возможностями и компетенциями и прилагаем все усилия, чтобы разрешить ситуацию», - говорит Кристиан Педерсен, управляющий партнер в TietoEVRY Норвегия.

Поскольку дело находится в стадии расследования, мы не можем комментировать ситуацию.

(17 и 19 февраля 2021 г.) 

 Операторы программ-вымогателей нацелились на платежную систему AFTS в Сиэтле и похитили файлы перед тем, как зашифровать ИТ-систему компании. Служба автоматического перевода средств (AFTS) используется правительственными учреждениями и другими организациями в США для обработки платежей и проверки адресов. Среди клиентов AFTS - Управление по делам транспорта Калифорнии и множество других муниципалитетов и агентств Калифорнии и Вашингтона. Департамент автотранспортных средств Калифорнии уведомил жителей о взломе. 

Примечание 

Нарушение нацелено на службу обработки платежей и проверки адресов AFTS, а не на системы DMV. Нарушенные данные могут включать имя, адрес, телефон, номерной знак, номера VIN, информацию о кредитной карте, отсканированные чеки и другие платежные данные. Банда Cuba Ransomware размещает данные для продажи на своем сайте утечки данных. Если покупатель не найден, ожидается, что он бесплатно предоставит его другим злоумышленникам. Чтобы минимизировать размер потенциальных утечек данных, пересмотрите свои политики хранения данных и активно удаляйте данные по достижении определенного возраста. 

(19 февраля 2021 г.) 

 Вредоносное ПО, нацеленное на macOS от Apple, было обнаружено на 30 000 компьютеров Mac, но неясно, что эта вредоносная программа, получившая название Silver Sparrow, должна делать. Раз в час зараженные машины проверяют управляющий сервер на наличие команд, но исследователи не обнаружили доказательств наличия полезной нагрузки. Есть две версии вредоносного ПО; один предназначен для компьютеров на базе x86, а второй - для компьютеров на базе x86 и M1. 

Примечание 

 Хотя цель еще не известна, то, что вредоносное ПО включает поддержку процессоров X86 и M1, а также платформу AWS C&C, указывает на намерение дальнейшего увеличения масштабирования, доступности и долговечности. Сертификаты разработчиков, используемые для подписи вредоносного ПО, были отозваны Apple, поэтому текущие пакеты нельзя установить в дополнительных системах. Отчет Red Canary включает в себя IOC и поведение, например, если существует пустой файл ~ / Library /._ ins, вредоносная программа удаляется сама 

(13 февраля 2021 г.) 

 Человеку из Флориды, работавшему в телефонной компании, предъявлены обвинения в том, что якобы он воспользовался своим доступом к данным клиентов для получения контроля над 19 телефонными номерами. Сообщник якобы заплатил Стивену Даниэлю ДеФьоре 2325 долларов за замену SIM-карт, принадлежащих клиентам. 

Примечание 

 Привилегированные инсайдеры продолжают вызывать беспокойство. Лучшее смягчение последствий - это управление конфиденциальными операциями с участием нескольких человек с мониторингом и управлением изменениями, где это необходимо. Даже в этом случае это должно быть связано с процессами управления рисками, чтобы определить и повторно оценить, какие действия определены как чувствительные операции. 

(12 февраля 2021 г.) 

 Несколько наборов учетных данных для системы водоочистных сооружений во Флориде, были обнаружены в пакете данных, размещенных в Интернете незадолго до взлома. Совместное предупреждение, выпущенное ФБР и Агентством кибербезопасности, содержит обзор инцидента и предлагает меры по устранению его последствий. 

Примечание 

 Совет по смягчению последствий - это простая и важная гигиена безопасности. «Что не делать» и «Что делать» так же хорошо известны как «похудеть, не есть так много и больше заниматься спортом», но способы преодоления препятствий к изменениям не сосредоточены на . Одна успешная стратегия, которая превращает контроль веса в гигиену безопасности: для начала сосредоточьтесь на одной важной вещи. Для контроля веса перестаньте пить газировку! В целях обеспечения безопасности прекратите разрешать удаленный доступ с повторно используемыми паролями. Сделайте это - затем попробуйте заменить жареные продукты (Windows 7 или старше) на жареные (Windows 10), купите весы (брандмауэр) и используйте их (положительная политика брандмауэра) и т. Д. Но сначала победите эту сладкую газировку (многоразовые пароли) привычка! 

(28 января и 11 февраля 2021 г.) 

 Поставщик облачных услуг Accellion прекратит использование своего продукта для обмена файлами FTA после ряда атак, в результате которых были скомпрометированы данные государственных учреждений и частных компаний в Австралии, Новой Зеландии, Сингапуре и США. Похоже, что злоумышленники используют SQL-инъекцию для установки веб-оболочки и оттуда воруют файлы, хранящиеся на устройстве FTA. В заявлении от 11 января Accellion отметила, что она узнала о проблеме в декабре 2020 года и «выпустила исправление в течение 72 часов для менее чем 50 затронутых клиентов». Совсем недавно Accellion объявила, что ее программное обеспечение FTA достигнет EOL 30 апреля 2021 года. 

 Примечание 

 Устройство FTA основано на Centos 6, срок эксплуатации которого истек в ноябре 2020 года. Если вы хотите и дальше использовать сервисы Accellion для передачи файлов, вам необходимо перейти на их облачный сервис Kiteworks. Kiteworks имеет умеренное разрешение FedRAMP. Accellion подслащивает горшок, предлагая услуги миграции существующим клиентам FTA. Я бы не стал катать собственный сервис передачи файлов, а предпочел бы использовать облачные решения, такие как OneDrive, Box, DropBox, Drop и Google Drive.