Amerykańska firma zajmująca się oprogramowaniem do bezpieczeństwa Symantec ogłosiła 25 czerwca, że zablokowała falę ataków przypisywanych Evil Group, wymierzoną w ponad trzydzieści firm w Stanach Zjednoczonych, wśród których znajdują się korporacje sklasyfikowane jako Fortune 500. Atakujący próbowali zainfekować sieci firm ze stosunkowo nową rodziną oprogramowania ransomware, o nazwie WastedLocker.
Symantec wyjaśnił, że cyberprzestępcza grupa Evil Corp zaatakowała co najmniej 31 organizacji, w tym osiem firm z listy Fortune 500, zauważając, że całkowita liczba ataków może być znacznie wyższa:
„Do tej pory firma Symantec wykryła ataki na 31 organizacji, wszystkie zlokalizowane w Stanach Zjednoczonych. USA Zdecydowana większość celów to duże korporacje, w tym wiele znanych nazwisk. Oprócz wielu dużych firm prywatnych istniało 11 spółek giełdowych, z których osiem to firmy z listy Fortune 500. Wszystkie wybrane organizacje oprócz jednej są własnością USA. Z wyjątkiem spółki zależnej z siedzibą w USA. USA międzynarodowego koncernu za granicą ». Zespół analizy i odkrywania ataków krytycznych firmy Symantec.
Eksperci Symantec ds. Bezpieczeństwa zauważyli, że najbardziej ucierpiał sektor produkcyjny, zaatakowany został pięć organizacji; Następnie był to sektor informatyczny z czterema firmami oraz media i telekomunikacja z trzema.
Firma tworząca oprogramowanie zabezpieczające dodała, że hakerzy naruszyli sieci takich organizacji oraz że przygotowują grunt pod organizację ataków ransomware za pomocą WastedLocker. Symantec zauważył, że „ostatecznym celem tych ataków jest sparaliżowanie infrastruktury IT ofiary poprzez szyfrowanie większości jej komputerów i serwerów w celu zażądania okupu w wysokości wielu milionów dolarów ”.
Śledczy z firmy Symantec wywnioskowali, że gdyby działania hakerów nie zostały zakłócone, „udane ataki mogłyby spowodować miliony szkód, przestojów i możliwy efekt falowania w łańcuchach dostaw” – powiedzieli.
Rozwój ataków
Symantec podsumował, że ataki rozpoczęły się od „złośliwego środowiska opartego na JavSript, znanego jako SocGholish, śledzonego na ponad 150 zainfekowanych stronach internetowych”; Symantec wyjaśnił, że SocGholish jest dostarczany ofierze w postaci skompresowanego pliku i jest ukrywany jako aktualizacja oprogramowania nawigacyjnego, która pozostanie niezauważona. Wyjaśnili, że osoby atakujące korzystają z legalnych witryn, które przekazują ruch do stron zawierających plik zip SocGolish.
Po uzyskaniu dostępu do sieci organizacji ofiary cyberprzestępcy używają złośliwego oprogramowania Cobalt Strike wraz z różnorodnymi narzędziami do kradzieży danych uwierzytelniających, eskalacji uprawnień i przemieszczania się bocznie przez sieć komputerową organizacji, a następnie wdrażają Oprogramowanie ransomware WastedLocker na wielu komputerach, szyfrujące dane i usuwające równoległe woluminy.
Badacze z firmy Symantec wskazali, że operatorzy WastedLocker „wydają się być wykwalifikowani i doświadczeni, potrafią włamać się do najlepiej chronionych korporacji, kraść dane uwierzytelniające i łatwo poruszać się po ich sieciach”. Z firmy Symantec stwierdzili, że ta nowa rodzina złośliwego oprogramowania „jest wysoce niebezpiecznym oprogramowaniem ransomware”, ponieważ udany atak może sparaliżować sieć komputerową ofiary, znacznie zakłócając jej działanie, a także dlatego, że operacja czyszczenia tego rodzaj oprogramowania ransomware byłby drogi.
Evil Corp: hakerzy stojący za WastedLocker
Zespół śledczy z firmy Symantec zauważył, że WastedLocker jest obwiniony Evil Group, grupą cyberataków, którzy stoją za innymi cyberatakami i których osoby mają otwarte zarzuty w Stanach Zjednoczonych:
„ WastedLocker został przypisany słynnemu zespołowi ds. Cyberprzestępczości„ Evil Corp ”. Evil Corp współpracował wcześniej z trojanem bankowym Dridex i oprogramowaniem ransomware BitPaymer, które, jak się uważa, zarobiły na swoich twórcach dziesiątki milionów dolarów. Dwóch rosyjskich mężczyzn, którzy są rzekomo zaangażowani w grupę, ma wobec nich otwarte zarzuty w Stanach Zjednoczonych . ” Zespół analizy i odkrywania ataków krytycznych firmy Symantec.
Symantec zauważył, że podczas przeprowadzania akcji informacyjnych w dotkniętych sieciach, zespół Grupy NCC, a konkretnie jednostka Fox-IT, przedłożył artykuł, w którym opisał nowe oprogramowanie ransomware WastedLocker i stwierdził, że zostało opracowane przez grupę Evil. Corp, które monitorują od kilku lat.
Grupa NCC oświadczyła, że wykryła, że nowe oprogramowanie ransomware było używane od maja tego roku i że jego nazwa „pochodzi od utworzonej przez niego nazwy pliku, która zawiera skrót nazwy ofiary i ciągu„ zmarnowane ”.
Ostatnio duże organizacje padły ofiarą ataków ransomware. Przykładem tego jest browar Lion, prowadzący działalność w Australii i Nowej Zelandii, który według australijskich lokalnych mediów otrzymał dwa ataki ransomware; W związku z tym ujawniono, że hakerzy pierwszego ataku zażądali miliona dolarów, podczas gdy operatorzy Sodinokibi, za drugim atakiem na Lwa, zażądali 800 tysięcy dolarów w Monero kryptowaluta i zagrozili, że zwiększą ratowanie do 1 , 6 milionów dolarów, jeśli nie zostanie to zrobione przed uzgodnionym terminem. Lion niedawno poinformował o reaktywacji produkcji piwa i wielu istotnych systemów.
Wyróżniony obraz autorstwa Pete Linforth / pixabay.com
Źródło wiadomości: Bitcoin.es
Dodaj komentarz