Шифровальщик ProLock объединил усилия с трояном QakBot - «Новости» » Самоучитель CSS
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Наш опрос



Наши новости

       
20-05-2020, 00:15
Шифровальщик ProLock объединил усилия с трояном QakBot - «Новости»
Рейтинг:
Категория: Новости

В этом месяце ИБ-эксперты и правоохранители обратили свое внимание на шифровальщик ProLock, недавно атаковавший одного из крупнейших производителей банкоматов – компанию Diebold Nixdorf.


Специалисты Group-IB посвятили малвари большой отчет. Они рассказывают, что шифровальщик появился в марте 2020 года и является преемником малвари PwndLocker, активной с конца 2019 года (вредонос был переименован в ProLock после того, как эксперты Emsisoft нашли способ расшифровки файлов PwndLocker). Атаки ProLock чаще всего нацелены на финансовые и медицинские организации, государственные учреждения и сектор розничной торговли.


Исследователи Group-IB пишут, что операторы ProLock используют два основных вектора распространения малвари: троян QakBot (Qbot) и незащищенные RDP-серверы со слабыми паролями.


И если с взломом RDP-серверов все ясно, то использование QakBot является весьма интересным вектором распространения. Раньше данный троян связывали с другим семейством шифровальщиков, MegaCortex, но теперь им пользуются операторы ProLock.


Как правило, сам QakBot распространяется через фишинговые кампании. Фишинговое письмо может содержать прикрепленный документ Microsoft Office или ссылку на вредоносный файл, находящийся в облачном хранилище, например, Microsoft OneDrive. Также известны случаи загрузки QakBot другим трояном, Emotet, который широко известен своим участием в кампаниях, распространявших вымогателя Ryuk.


После загрузки и открытия зараженного документа пользователю предлагается разрешить выполнение макросов, в случае успеха осуществляется запуск PowerShell, который позволит загрузить и запустить полезную нагрузку QakBot с командного сервера.


Также предупреждение о ProLock в этом месяце выпустили и специалисты ФБР. Они объясняют, что шифровальщик, судя по всему, вручную управляется операторами, то есть устанавливается в сетях скомпрометированных организаций вручную, а не автоматически.


Хакерские группы нередко взламывают или покупают доступ к взломанной сети какой-либо компании у других злоумышленников. Они берут скомпрометированный хост под контроль, а затем используют его для бокового распространения по сети. Внедрение шифровальщиков происходит уже после этого, в ручном режиме, когда злоумышленники максимально расширят свой доступ.


Именно таким образом операторы ProLock используют Qakbot. Это не уникальный случай: ранее эксперты обнаруживали, что вымогатели Ryuk и Maze часто появляются на компьютерах, ранее зараженных трояном TrickBot, а вымогатель DopplePaymer идет рука об руку с малварью Dridex. При этом пока остается неясным, был ли ProLock создан теми же авторами, что и Qakbot, или операторы ProLock покупают доступ к зараженным Qakbot хостам и сотрудничают с другой хак-группой.


Также ФБР предупредило, что инструмент для расшифровки данных, который жертвам ProLock предоставляют сами злоумышленники, зачастую работает некорректно и не помогает спасти информацию, даже если выкуп был выплачен.


«Расшифровщик потенциально может испортить файлы размером более 64 Мб и привести к повреждению целостности файла, примерно на 1 байт на каждый 1 Кб для файлов свыше 100 Мб», — предупреждает ФБР.


В этом месяце ИБ-эксперты и правоохранители обратили свое внимание на шифровальщик ProLock, недавно атаковавший одного из крупнейших производителей банкоматов – компанию Diebold Nixdorf. Специалисты Group-IB посвятили малвари большой отчет. Они рассказывают, что шифровальщик появился в марте 2020 года и является преемником малвари PwndLocker, активной с конца 2019 года (вредонос был переименован в ProLock после того, как эксперты Emsisoft нашли способ расшифровки файлов PwndLocker). Атаки ProLock чаще всего нацелены на финансовые и медицинские организации, государственные учреждения и сектор розничной торговли. Исследователи Group-IB пишут, что операторы ProLock используют два основных вектора распространения малвари: троян QakBot (Qbot) и незащищенные RDP-серверы со слабыми паролями. И если с взломом RDP-серверов все ясно, то использование QakBot является весьма интересным вектором распространения. Раньше данный троян связывали с другим семейством шифровальщиков, MegaCortex, но теперь им пользуются операторы ProLock. Как правило, сам QakBot распространяется через фишинговые кампании. Фишинговое письмо может содержать прикрепленный документ Microsoft Office или ссылку на вредоносный файл, находящийся в облачном хранилище, например, Microsoft OneDrive. Также известны случаи загрузки QakBot другим трояном, Emotet, который широко известен своим участием в кампаниях, распространявших вымогателя Ryuk. После загрузки и открытия зараженного документа пользователю предлагается разрешить выполнение макросов, в случае успеха осуществляется запуск PowerShell, который позволит загрузить и запустить полезную нагрузку QakBot с командного сервера. Также предупреждение о ProLock в этом месяце выпустили и специалисты ФБР. Они объясняют, что шифровальщик, судя по всему, вручную управляется операторами, то есть устанавливается в сетях скомпрометированных организаций вручную, а не автоматически. Хакерские группы нередко взламывают или покупают доступ к взломанной сети какой-либо компании у других злоумышленников. Они берут скомпрометированный хост под контроль, а затем используют его для бокового распространения по сети. Внедрение шифровальщиков происходит уже после этого, в ручном режиме, когда злоумышленники максимально расширят свой доступ. Именно таким образом операторы ProLock используют Qakbot. Это не уникальный случай: ранее эксперты обнаруживали, что вымогатели Ryuk и Maze часто появляются на компьютерах, ранее зараженных трояном TrickBot, а вымогатель DopplePaymer идет рука об руку с малварью Dridex. При этом пока остается неясным, был ли ProLock создан теми же авторами, что и Qakbot, или операторы ProLock покупают доступ к зараженным Qakbot хостам и сотрудничают с другой хак-группой. Также ФБР предупредило, что инструмент для расшифровки данных, который жертвам ProLock предоставляют сами злоумышленники, зачастую работает некорректно и не помогает спасти информацию, даже если выкуп был выплачен. «Расшифровщик потенциально может испортить файлы размером более 64 Мб и привести к повреждению целостности файла, примерно на 1 байт на каждый 1 Кб для файлов свыше 100 Мб», — предупреждает ФБР.

Теги: CSS

Просмотров: 456
Комментариев: 0:   20-05-2020, 00:15
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме: