AnasayfatahkikatYunan şirketleri CrySIS / Dharma ransomware kurbanları! Sonsuz Bir Saldırı?

Yunan şirketleri CrySIS / Dharma ransomware kurbanları! Sonsuz Bir Saldırı?

2019'da Yunanistan'daki küçük ve orta ölçekli işletmelerin ve devlerin raporlarına göre crysis ή Dharma fidye2016'dan bu yana kurbanlarına terör ekmekte olan birkaç şirkete bulaştı.

crysis

Küresel çevrimiçi topluluk, CrySIS ransomware'in zulmünün bittiğini hissettiğinde, birkaç Yunan şirketleri kurban düşerek inkar ediyorlar kötü amaçlı yazılım ve - çoğu - dosyalarının şifresini çözmek için büyük miktarda para ödemek.

Aslında, göre Malwarebytes Laboratuvarları, küresel olarak Şubat-Mart 148 arasında CrySIS fidye yazılımı saldırılarında% 2019'lik bir artış görüyorsunuz.

Yunan iş dünyasında fidye yazılımı birkaç şirketi rahatsız etmiş görünüyor kendilerini dokunulmaz olarak gören veya hackerlar.

SecNews araştırmasının ardından, Xoxi hackerlar Saldırıların arkasında tamamen para toplamaya yönelik sormak fidye. Bu, şirketlerin rakipleri tarafından kişisel çıkarların veya komploların hedefi olmadığı anlamına gelir.

Οι hackerlar "profesyoneller" olarak hareket ederler ve fidye alır almaz şifre çözme anahtarını dosyalara gönderirler.

SecNews araştırmasına göre, Çinli ve / veya Ruslar muhtemelen saldırıların arkasında. bilgisayar korsanları. Aslında, bunlar milyonlarca dolar kazanmış organize gruplar! 500.000.000 milyon dolar]

CrySIS Yunan şirketleri

CrySIS nedir/ Dharma fidye ve nasıl çalışır?

CrySIS / Dharma amaçları Windows sistemler, ve esas olarak işletmelere yöneliktir. Çeşitli dağıtım yöntemleri kullanır:

  • CrySIS şu şekilde dağıtılır: için zararlı ekler Spam e-postalar. Özellikle, kötü amaçlı ekler, varsayılan Windows ayarlarında gerçekte çalıştırılamayan gibi görünebilecek yinelenen dosya uzantılarını kullanır.
  • CrySIS de sonuçlanabilir yasal yazılımlar için yükleme dosyaları olarak gizlenmiş, şunlar da dahil AV satıcıları. CrySIS'in arkasındaki bilgisayar korsanları, çeşitli meşru uygulamalar için, çeşitli web siteleri ve genel ağlar üzerinden dağıtılabilen yürütülebilir dosyalar olarak "akasya" yükleyicileri sunar.
  • Çoğu zaman, CrySIS / Dharma hedeflenen saldırılara manuel olarak iletilir ve kimlik bilgilerinden yararlanır RDP sızdıran veya zayıf. Bu, saldırganın kaba kuvvet zorlamadan önce makine kurbanlarına erişebileceği anlamına gelir saldırı 3389 numaralı bağlantı noktasında bir Windows RDP protokolünde.

Yakın zamanda yapılan bir saldırıda, CrySIS bir spam e-postaya indirme bağlantısı olarak gönderildi. Bağlantı, tarafından korunan bir yükleyiciye yönlendiriyor şifre. Parola, e-postadaki potansiyel kurbanlara verildi ve CrySIS / Dharma yürütülebilir dosyasına ek olarak, yükleyici bilinen bir güvenlik satıcısından eski bir kaldırma aracı içeriyordu.

Bu bir sosyal mühendislik strateji kullanıcıların şüphelerini önlemek için kullanıldı. Kurulum paketinde tanıdık bir güvenlik çözümünü görmek, indirilebilir olarak güvenli olarak kabul edilir.

CrySIS fidye yazılımı Yunan şirketleri

enfeksiyon

CrySIS bir sisteme bulaştığında, yaratır kayıt defteri girdileri ve neredeyse her tür dosyayı şifreler, sistem ve kötü amaçlı yazılım dosyalarını atlayarak. Birini kullanarak şifreleme gerçekleştirir güçlü şifreleme algoritması (RSA-256 asimetrik şifreleme ile birlikte AES-1024), sabit, çıkarılabilir ve ağ sürücüleri için geçerlidir.

Şifrelemeden önce CrySIS tüm Windows Geri Yükleme Noktalarını siler vssadmin delete shadows / all / quiet komutunun çalıştırılması.

O Truva çünkü fidye yazılımı yayılıyor bilgisayar adını toplar και belirli biçimlerdeki şifrelenmiş dosya sayısı, kontrol ettiği uzak bir C2 sunucusuna gönderir Hacker. Bazı Windows sürümlerinde, yönetici haklarıyla hareket ederböylece şifrelenebilecek dosyaların listesini genişletir.

Başarılı bir RDP saldırısından sonra, fidye yazılımının yükünü uygulamadan önce, CrySIS kaldırır güvenlik yazılımı sistemde yüklü.

fidye yazılımı Yunan şirketleri

Fidye

CrySIS şifrelemeyi tamamladığında, masaüstüne kurbanın ne kadar ödemesi gerektiğini not ediyor bilgisayar korsanlarına ulaşmak için iki e-posta adresi sağlayarak dosyalarını almak istiyorsa.

Gerekli fidye genellikle yaklaşık 1 Bitcoin, ancak fiyatlandırmanın etkilenen şirketin gelirine göre ayarlandığı görülmüştür. Ekonomik açıdan sağlam şirketler genellikle daha fazla ödeme yapar.

Kendinizi nasıl korursunuz?

İş bilgisayarlarınızda uzaktan çalıştırmak için başka yazılım kullanma seçeneğiniz olsa da, RDP aslında Windows sistemlerinde önceden yüklenmiş bir istemcinin yanı sıra diğer işletim sistemleri için kullanılabilir istemcilerle güvenli ve kullanımı kolay bir protokoldür. Yetkisiz bağlantılar yoluyla birisinin ağınıza erişmesini çok daha zor hale getirmek için atabileceğiniz birkaç adım vardır. RDP:

  • Bir kaba kuvvet saldırısının başarılı olmasını zorlaştırmak için kullanın güçlü şifreler.
  • Kapatmayın ağ düzeyinde kimlik doğrulama (Ağ Düzeyinde Kimlik Doğrulama - NLA) ek bir kimlik doğrulama düzeyi sunduğundan. Henüz yapmadıysanız açın.
  • RDP bağlantı noktasını değiştirme böylece açık RDP bağlantı noktaları arayan bağlantı noktası tarayıcıları sizinkini kaybeder. Varsayılan olarak, sunucu kapı 3389 dinliyor hem TCP hem de UDP için.
  • Ή uzak bir Ağ Geçidi Sunucusu sunucusu kullanma2FA gibi bazı ek güvenlik ve işletim avantajları da sağlar. Τα günlükleri RDP oturumlarının yüzdesi çeşitli hareketleri kontrol etmek istediğinizde özellikle yararlı olabilir. Bu günlükler saldırıya uğrayan makinede bulunmadığından, bilgisayar korsanlarının sahte olması daha zordur.
  • Belirli IP adreslerine erişimi kısıtla, mümkünse. Birçok kişiye ihtiyaç olmamalı IP'ler RDP'ye erişmesi gereken
  • RDP kullanırken bile Windows bilgisayarlarda kullanıcı izinlerini artırmanın birçok yolu vardır, ancak bilinen tüm yöntemler yamalanmıştır. Bu nedenle, her zaman olduğu gibi, sistemlerinizin tamamen güncel olduğundan emin olun yamalı.
  • Etkili ve kullanımı kolay bir kullanın yedekleme stratejisi. Geri Yükleme Noktalarına olan güven nitelendirilmez ve Fidye yazılımı CrySIS örneğinde olduğu gibi geri yükleme noktalarını ilk kez sildiğinde tamamen işe yaramaz.
  • Personeli eğitin senin hakkında kimlik avı saldırıları ve siber güvenlik konusunda farkındalığı artırmak.
  • son, çok düzeyli, gelişmiş bir güvenlik çözümü kullanın makinelerinizi fidye yazılımı saldırılarına karşı korumak için.

IOCs

TRansom.Crysis'in şifrelenmiş dosyalar için bu uzantıları kullandığı bilinmektedir:

.crysis, .dharma, wallet, .java, .adobe, .viper1, .write, .bip, .zzzzz, .viper2, .arrow, .gif, .xtbl, .onion, .bip, .cezar, .combo, .cesar, .cmb, .AUF, .arena, .brrr, .btc, .cobra, .gamma, .heets, .java, .monro, .USA, .bkp, .xwx, .btc, .best, .bgtx , .boost, .heets, .waifu, .qwe, .gamma, .ETH, .bet, ta, .air, .vanss ,. 888, .FUNNY, .amber, .gdb, .frend, .like, .KARLS, .xxxxx, .aqva, .lock, .korea, .plomb, .tron, .NWA, .AUDIT, .com, .cccmn, .azero, .Bear, .bk666, .fire, .stun, .myjob, .ms13, .war, .carcn, .risk, .btix, .bkpx, .he, .ets, .santa, .gate, .bizer , .LOVE, .LDPR, .MERS, .bat, .qbix, .aa1 ve .wal

 

Şimdiye kadar, aşağıdaki fidye tespit edildi isimleri:

  • txt
  • VERİLERİNİZİ NASIL DÜŞÜRÜR
  • Dosyalarınızı geri yüklemek için Benioku.txt
  • Şifre çözme talimatları.txt
  • ENCRYPTED.txt DOSYALARI
  • Şifrelenmiş dosyalar !! .txt
  • hta

Ortak dosya karmaları:

  • 0aaad9fd6d9de6a189e89709e052f06b
  • bd3e58a09341d6f40bf9178940ef6603
  • 38dd369ddf045d1b9e1bfbb15a463d4c

 

fidye

Bu saldırının kurbanı olduysanız SecNews araştırma ekibiyle iletişime geçebilirsiniz tıklayarak https://www.secnews.gr/ask-us/.

 

Gizlilik adına CrySIS'e kurban giden Yunan şirketlerinin isimleri/ Dharma fidye, açıklanmadı.

 

CANLI HABERLER