SUA: Cel mai mare producător de echipamente laser, victimă a RansomExx

Compania a fost atacată de ransomware-ul RansomExx, o versiune actualizată a Defray777.

IPG Photonics Laser serving US Army hit by a Ransomware Attack - Cybersecurity Insiders

IPG Photonics, cel mai mare producător american de  echipamente laser folosite pentru tăiere, sudură și uz medical, a căzut victimă ransomware-ului RansomExx.

IPG Photonics are sediul la Oxford, Massachusetts și deține sucursale în întreaga lume. Compania are 4.000 de angajați, iar veniturile de anul trecut s-au ridicat la 1,3 miliarde de dolari. Unele dintre produsele companiei sunt utilizate de Forțele Aeriene ale SUA.

USS Ponce Laser Weapon System by IPG Photonics

Potrivit BleepingComputer, IPG Photonics a fost atacat de un ransomware care i-a întrerupt procesele de producție. Compania a trebuit să oprească sistemele informatice la birourile sale din întreaga lume. Telefoanele și e-mailurile au fost deconectate în birouri, nu a existat nicio comunicare, producția de piese a fost oprită, iar livrarea nu a mai funcționat.

Potrivit specialiștilor, compania a fost atacată de ransomware-ul RansomExx. Acesta este o versiune actualizată a Defray777, iar activitatea sa a crescut semnificativ din iunie a.c. De exemplu, în august, ransomware-ul a atacat Departamentul Transporturilor din Texas și compania Konica Minolta.

Conform notei de răscumpărare, atacatorii au furat datele IPG Photonics din depozite TFS.

Spre deosebire de alți infractori cibernetici, operatorii RansomExx nu au un site pe darkweb unde să publice datele furate.

Netwalker a atacat cel mai mare furnizor de energie din Pakistan

La 7 septembrie a.c., compania pakistaneză K-Electric a fost supusă unui atac cibernetic ce a condus la compromiterea serviciilor sale online și la imposibilitatea facturării clienților.

image

Cea mai mare companie privată de energie din Pakistan, K-Electric, a fost victima ransomware-ului Netwalker. Potrivit publicației Bleeping Computer, furnizorul a fost supus unui atac cibernetic, în urma căruia facturarea și serviciile online ale companiei au încetat să mai funcționeze.

Se pare că incidentul nu a afectat furnizarea energiei electrice.

Conform paginii lor de pe darknet, atacatorii cer o răscumpărare de 3,85 milioane de dolari. Dacă compania nu plătește banii în termen de șapte zile, suma va fi dublată la 7,7 milioane de dolari.

Tor payment page for K-Electric

Membrii grupării susțin, de asemenea, că au furat fișierele necriptate ale companiei, însă site-ul Netwalker nu oferă informații cu privire la volumul și natura documentelor furate.

Pagina Netwalker de pe darknet arată ca un site obișnuit de servicii clienți, cu pagină de întrebări frecvente (FAQ). Ba chiar oferă un eșantion “gratuit” de software, existând și un chat în timp real. Pagina are, de asemenea, un cronometru special care măsoară timpul rămas până la momentul în care hackerii fie dublează prețul răscumpărării, fie șterg datele furate.

De la 1 martie a.c., operațiunile grupării Netwalker au generat un total de 25 de milioane de dolari, bani rezultați ca plăți de răscumpărare, potrivit unui raport McAfee.

Netwalker este o operațiune de tipul Ransomware-as-a-Service (RaaS) care a început să funcționeze la sfârșitul anului 2019. Afiliații sunt angajați să distribuie ransomware-ul și să infecteze victimele în schimbul a 60-70% din plățile de răscumpărare.

NetWalker poate infecta în doar o oră sisteme cu date privind COVID-19

În timpul atacului, infractorii cibernetici au folosit instrumentele Cobalt Strike, ProcDump, Mimikatz etc.

Specialiștii proiectului de securitate cibernetică The DFIR Report au publicat detaliile unui atac cu ransomware-ul NetWalker asupra unui honeypot.

Programul malițios a intrat într-un honeypot (mecanism pentru detectarea sau respingerea incercarilor de utilizare neautorizata a sistemelor) al celor de la The DFIR Report, iar cercetătorii au avut astfel posibilitatea de a-l studia, descrie și…cronometra!

Modus operandi

În timpul atacului, operatorii malware-ului s-au conectat la sistem prin RDP, au lansat beacon-ul Cobalt Strike și apoi au extras datele de memorie folosind instrumentele ProcDump și Mimikatz. Apoi au obținut acces prin RDP la controlerul de domeniu și, folosind instrumentul PsExec, au lansat ransomware-ul NetWalker. Întregul proces malițios a durat aproximativ 1 oră.

Timpii de lucru ai NetWalker

Potrivit cercetătorilor, atacul a fost efectuat de pe adresa IP 198.181.163 [.] 103 (probabil IPVanish VPN).

Atacatorii s-au conectat la contul de administrator de domeniu și au descărcat scripturile c37.ps1 și c37.exe. Primul script, cel mai probabil Cobalt Strike, a rulat aproximativ 16 minute. Analiza a arătat că acesta ar fi putut conține și programele malițioase Windshield sau SplinterRAT. Deoarece scriptul nu a inițiat nicio conexiune la rețea, experții nu au putut afla dacă acestea funcționează sau nu.

La scurt timp după c37.ps1, atacatorii au lansat un al doilea script, c37.exe. Acesta se copiază în folderul temp și apoi se oprește. Acest fișier conținea virusul Neshta.

Împreună cu scripturile de mai sus, au fost încărcate pe sistem instrumentul AdFind și scripturile adf.bat și pcr.bat.

În etapa următoare, au fost încărcate și lansate pe sistem utilitățile Mimikatz și Procdump.

După obținerea credențialelor, atacatorii au obținut acces RDP la controlerul de domeniu și au descărcat ip.list.txt, P100119.ps1 și instrumentul PsExec. Acesta din urmă a fost folosit pentru a accesa sistemul cu drepturi de administrator de domeniu.

Apoi operatorii, folosind o comandă PowerShell, au lansat ransomware-ul și au lăsat mesajul de răscumpărare.

Inițial, infractorii cibernetici au cerut 50.000 de dolari pentru recuperarea fișierelor. Suma trebuia plătită în termen de 7 zile, altfel aceasta ar fi crescut la 100.000 de dolari.

Mesajul de răscumpărare

În final, specialiștii au reușit să reducă suma de răscumpărare la 35.000 de dolari. Din fericire, de această dată, NetWalker a rulat pe un honeypot.

image

La începutul lunii iunie însă, operatorii ransomware-lui Netwalker au atacat Universitatea din California, San Francisco (UCSF), reușind să cripteze date importante pentru această instituție academică. Universitatea, lider în cercetarea COVID-19, a decis să plătească infractorilor cibernetici o răscumpărarea în valoare de 1,14 milioane dolari. Infractorii cibernetici ceruseră inițial suma de 3 milioane de dolari.

La 04.08 a.c., Interpol a publicat o analiză a impactului pandemiei COVID-19 asupra criminalității informatice, evidențiind creșterea volumului de informații false și neverificate (fake news).

De asemenea, au crescut cazurile de utilizare a trojenilor și a altor viruși creați pentru colectarea de date și golirea conturilor bancare.

Atacurile DDoS și utilizarea programelor malițioase ce blochează stațiile de lucru în vederea deblocării contra răscumpărării au devenit mult mai frecvente. Buletinele informative false pe tema coronavirusului sunt de asemenea utilizate ca momeală. Interpol indică un volum crescut de informații false și neverificate (fake news), care se răspândesc în societate pe fondul fricii și incertitudinii legate de pandemie.

La pachet cu dezinformarea, infractorii cibernetici folosesc diferite scheme frauduloase pentru a-și vinde produsele medicale contrafăcute. Astfel, 14% din numărul total de sesizări venite din partea partenerilor organizației au fost legate de acest subiect.

Hackerii au sutras date de la producătorul Jack Daniel’s

Hackerii au reușit să fure informații despre angajați, contracte, documente financiare și corespondență internă.

Jack Daniel’s Hit By Ransomware Attack

Operatorii ransomware-ului REvil au anunțat compromiterea sistemelor informatice ale companiei Brown-Forman Corporation, unul dintre cei mai mari producători de băuturi alcoolice din Statele Unite, care deține mărci precum Jack Daniel’s și Finlandia.

Hackerii au reușit să fure peste 1 TB de date confidențiale din rețeaua companiei, constând în informații despre angajați, contracte, documente financiare și corespondență internă.

Ca dovadă a reușitei acțiunii de hacking, gruparea a postat pe site-ul său de pe darkweb o serie de capturi de ecran cu fișiere ale companiei și conversații interne între angajați. Atacatorii au afirmat, de asemenea, că au studiat infrastructura informatică a companiei timp de o lună.

Suma cerută ca răscumpărare nu este cunoscută.

Compania Brown-Forman a recunoscut incidentul, dar a menționat că a reușit să împiedice criptarea sistemelor. De asemenea, reprezentanții Brown-Forman au declarat că nu au început niciun fel de negocieri cu atacatorii.

Modus operandi

Conform portalului Zdnet.com, operatorii REvil folosesc ca punct de intrare în sistemele informatice ale victimei echipamentele de rețea rămase neprotejate, ca ulterior să-și răspândească programul malițios pe dispozitive din rețeaua targetată.

Hackerul bulgar Instakilla, arestat la Plovdiv

Se pare că Instakilla este implicat într-un atac cibernetic asupra Agenției Naționale a Finanțelor și a altor agenții guvernamentale din Bulgaria.

instakilla.com

După luni de investigații, Departamentul de Combatere a Criminalității Cibernetice din cadrul Ministerului bulgar de Interne a reușit ​​să-l localizeze și rețină pe cel mai important hacker bulgar, cunoscut sub numele de Instakilla.

Este vorba despre un tânăr, acesta fiind arestat la Plovdiv. Deocamdată nu au apărut detalii suplimentare privind identitatea infractorului cibernetic.

“La 05.08.2020, în cadrul unei acțiuni operative de amploare, au fost realizate percheziții la două adrese din orașul Plovdiv, cu acest prilej fiind ridicate calculatoare, telefoane mobile, USB-uri și monedă virtuală legată de obiectul anchetei“, se menționează într-un comunicat de presă al Ministerul bulgar de Interne.

“Ancheta a condus la un bărbat care a obținut acces în mod ilegal la baze de date ale instituțiilor financiare ale statului și la cele ale unor persoane juridice. S-a documentat că, după ce a obținut o serie de date, bărbatul, care era recidivist, a contactat reprezentanții unor companii private cerând răscumpărare în monedă virtuală pentru a le înapoia/debloca datele”, se mai arată în comunicat.

In anul 2019, hackerul a compromis forumul Comodo și și-a revendicat compromiterea unor forumuri italiene și olandeze pentru lucrătorii sexuali (prostituția este legală în aceste țări).

Instakilla a fost interzis inclusiv pe un forum de pe darknet, pentru escrocherie. De asemenea, hackerul își construise un site unde își promova serviciile ilicite.

Compania Canon, victimă a hackerilor Maze

Atacatorii au reușit să fure 10 TB de date din rețeaua companiei.

MAZE RANSOMWARE GROUP DECLARED SUCCESSFUL EXPLOITS OF MANY ...

Compania Canon a fost victima unui atac cibernetic de tip ransomware care a afectat mai multe dintre serviciile sale, inclusiv cel de email, Microsoft Teams, site-ul oficial din SUA al Canon și o serie de aplicații interne.

La 30 iulie, specialiștii portalului de securitate cibernetică BleepingComputer au raportat o defecțiune a serviciului de stocare foto și video image.canon aparținând Canon.

Serviciul a fost indisponibil timp de șase zile și și-a reluat operațiunile abia pe 4 august. Conform update-ului de atunci al Canon, “site-ul s-a confruntat cu o scurgere de date”.

Totuși, experții BleepingComputer au bănuit că incidentul nu a fost o simplă scurgere de date, ci un adevărat atac cibernetic. Suspiciunile au fost confirmate pe 5 august, când o sursă anonimă a furnizat portalului BleepingComputer o notificare internă a companiei trimisă în aceeași zi și intitulată “Mesaj de la Centrul de servicii IT”.

“Atenție: Canon USA se confruntă cu un blocaj masiv de sistem care afectează multe din aplicațiile noastre. Momentan, Microsoft Teams, e-mailul și alte sisteme ar putea să nu fie disponibile. Ne cerem scuze pentru acest inconvenient. Vom veni cu o actualizare cât mai curând posibil”, se arata în notificarea internă respectivă.

Ulterior, analizând o captură de ecran primită de BleepingComputer, conținând cererea de răscumpărare, specialiștii au aflat că gruparea implicată în atacul asupra Canon este Maze.

Cererea de răscumpărare din partea grupării Maze

Specialiștii au contactat operatorii ransomware-ului Maze. Aceștia au confirmat că în dimineața zilei de 5 august au atacat Canon și au furat 10 TB de informații, inclusiv baze de date confidențiale.

Extorționiștii amenință că vor face publice datele Canon, dacă compania nu va plăti răscumpărarea în termen de șapte zile.

“Nu avem totuși nicio legătură cu întreruperea serviciului  image.canon din 30 iulie”, au mai comunicat operatorii Maze.

Reprezentanții companiei Canon nu au oferit deocamdată un comentariu oficial despre incident.

De asemenea, sunt încă necunoscute suma cerută de Maze ca răscumpărare și starea actuală a datelor furate de la Canon.

Gruparea Maze: Zeci de GB de date, furate de la LG și Xerox

Informațiile furate includ codul-sursă pentru diverse produse LG și înregistrări ale serviciului de asistență clienți al companiei Xerox.

Imagine izoologic.com

Operatorii ransomware-ului Maze au publicat zeci de GB de date interne furate din rețelele corporative ale giganților tehnologici LG și Xerox.

Gruparea de criminalitate cibernetică Maze este cunoscută, în primul rând, pentru ransomware-ul cu același nume. Operatorii intră în rețelele corporative, fură fișiere confidențiale și apoi criptează datele, cerând răscumpărare pentru decriptare.

Dacă victima refuză să plătească răscumpărarea și decide să restabilească datele cu ajutorul copiilor de rezervă, infractorii creează o postare pe site-ul lor de pe darkweb și amenință cu publicarea datelor confidențiale ale victimei. Acesteia i se acordată mai multe săptămâni pentru a decide dacă va plăti răscumpărarea. In caz contrar, gruparea Maze publică fișierele pe portalul său de pe darkweb.

La sfârșitul lunii iunie a.c., atacatorii au anunțat că sunt în posesia datelor furate de la LG și Xerox, creând postări pentru fiecare dintre cele două companii. Giganții tehnologici au refuzat să respecte cerințele infractorilor. În consecință, hackerii au publicat 50,2 GB date aparținând LG și 25,8 GB date interne ale companiei Xerox.

Conform portalului ZDNet, datele furate conțin codul-sursă pentru diverse produse LG, cum ar fi telefoane sau laptopuri.

Potrivit paginii Maze, în cazul rețelei LG, atacatorii nu și-au instalat ransomware-ul, ci pur și simplu au furat datele companiei.

“Am decis să nu mai instalăm ransomware-ul, deoarece clienții lor sunt importanți în plan social și nu dorim să interferăm cu operațiunile acestora”, a explicat gruparea Maze.

De la compania Xerox, operatorii Maze au furat informații legate de operațiunile de servicii clienți.

Companiile LG și Xerox nu au comentat deocamdată incidentele.

Garmin a plătit răscumpărare hackerilor WastedLocker

Singurul mod în care compania putea obține cheia pentru decriptarea fișierelor a fost să plătească răscumpărarea.

GarminPocalypse 1 : Ransomware Causes Major outage

 

Garmin, producătorul american de dispozitive digitale pentru navigație GPS, activități în aer liber și sport, și-a recuperat datele după atacul ransomware-ului WastedLocker folosind o cheie de decriptare.

Reamintim că pe 23 iulie a.c., utilizatorii din întreaga lume nu au putut accesa serviciile Garmin Connect, flyGarmin, Strava și InReach.

Deși compania nu a dezvăluit natura incidentului, potrivit postărilor angajaților săi pe rețelele de socializare, Garmin a fost victima atacului ransomware-ului WastedLocker, care i-a criptat rețelele și a cerut o răscumpărare de 10 milioane de dolari.

La câteva zile după atac, compania a anunțat restaurarea treptată a serviciilor oferite. Potrivit zvonurilor, Garmin a plătit operatorilor WastedLocker suma cerută.

Până în prezent, Garmin nu a comentat aceste informații.

Cu toate acestea, după cum au precizat specialiștii portalului BleepingComputer, compania a primit cheia de decriptare a fișierelor blocate de infractori.

WastedLocker este un program ransomware conceput să atace companiile comerciale. Nu s-au găsit vulnerabilități în algoritmul său de criptare, iar experții în securitate cibernetică nu pot crea deocamdată un instrument pentru recuperarea gratuită a fișierelor criptate de operatorii WastedLocker.

Se pare că, pentru a obține cheia, Garmin a trebuit să plătească extorționiștilor suma cerută.

Garmin restoration package contents

Astfel, pachetul de recuperare examinat de specialiștii BleepingComputer include diferiți instalatori de software antivirus, o cheie de decriptare, decriptorul WastedLocker și scriptul pentru lansarea acestora.

După executare, pachetul de recuperare decriptează datele de pe computer și apoi instalează soluții de securitate. Scriptul conține reperul temporal “25.07.2020”, ceea ce înseamnă că răscumpărarea a fost plătită de Garmin pe 24 sau 25 iulie.

Folosind un eșantion WastedLocker de tipul celui utilizat în atacul asupra companiei Garmin, cercetătorii BleepingComputer au criptat o mașină virtuală pentru a testa decriptorul. Rezultatul a fost că decriptorul s-a descurcat excelent cu sarcina dată.

Potrivit BleepingComputer, companiile care cad victime ransomware-ului trebuie să respecte o singură regulă: să șteargă toate datele din computerele atacate și reinstaleze totul de la zero.

Acest lucru este necesar deoarece nu se poate spune ce modificări au făcut operatorii programului malițios.

Cu toate acestea, judecând după script, Garmin nu a respectat această regulă, ci pur și simplu a decriptat datele folosind decriptorul, ca apoi să instaleze soluții de securitate.

 

Gruparea REvil a furat 800 GB de date din rețeaua companiei feroviare spaniole Adif

Membrii grupării amenință că vor lansa un nou atac cibernetic dacă Adif nu le va îndeplini solicitările.

REvil ransomware hackers threatening to release “dirty laundry” on ...

Compania feroviară spaniolă de stat Adif a căzut victimă grupării de criminalitate cibernetică REvil. Adif este compania spaniolă de stat care administrează infrastructura feroviară a țării, gestionează traficul și percepe taxe de la operatorii feroviari.

În urma a două campanii malițioase, atacatorii au reușit să fure aproximativ 800 GB date, inclusiv informații personale și date contabile.

“Vă sfătuim să ne contactați imediat. Avem informații personale, inclusiv corespondență, contracte și date contabile, în total 800 GB. Dacă nu ne respectați cererea, vă vom publica datele. Vom continua să vă descărcăm informații până când ne veți contacta. In caz contrar, odată cu publicarea, vom realiza și al treilea atac”, au arătat membrii grupării într-un mesaj online.

Un purtător de cuvânt al companiei a confirmat atacurile cibernetice, însă a anunțat că “infrastructura feroviară spaniolă nu a avut de suferit de pe urma acestora”.

Anterior, Gruparea REvil a solicitat 7,5 milioane de dolari companiei Telecom, cel mai mare furnizor argentinian de internet, în schimbul deblocării datelor criptate pe 18 mii de calculatoare din rețeaua IT a acestei companii.

Gruparea REvil solicită 7,5 milioane de dolari celui mai mare furnizor argentinian de internet

În urma unui atac de tip ransomware, aproximativ 18 mii de calculatoare ale companiei argentiniene Telecom S.A. au fost infectate.

Argentina's biggest hack, Telecom Argentina hacked and infected ...

Atacul a vizat rețeaua internă a Telecom S.A., una dintre cele mai mari companii de telecomunicații din Argentina, ce oferă servicii de telefonie locală și internațională, dar și internet.

Atacatorii au cerut o răscumpărare de 7,5 milioane de dolari pentru accesul la fișierele criptate. Atacul a fost efectuat cel mai probabil de către operatorii programului ransomware REvil (aka Sodinokibi), conform publicației El Periodista.

Potrivit reprezentanților companiei, infractorii cibernetici au provocat pagube semnificative după ce au reușit să preia controlul asupra contului de administrare a domeniului intern. Atacatorii au distribuit ransomware-ul pe mai mult de 18.000 de de calculatoare.

Image

Incidentul nu a afectat conexiunea la Internet în cazul clienților companiei și nici serviciile de telefonie fixă ​​sau TV prin cablu, însă multe dintre site-urile oficiale ale Telecom Argentina au avut de suferit.

telecom-revil-page.png
Pagina grupării pe darkweb

Pe pagina de pe darkweb a infractorilor este postată în prezent o cerere de răscumpărare de 109.345,35 Monero (aproximativ 7,5 milioane USD). Infractorii amenință că vor dubla această sumă dacă nu li se va satisface cererea.

Conform presei argentiniene, infractorii cibernetici au efectuat atacul folosind un atașament malițios trimis prin email unuia dintre angajații companiei, metodă care contravine modului obișnuit de operare al grupării de criminalitate cibernetică REvil. In general, operatorii REvil folosesc echipamentele de rețea neprotejate ca punct de intrare în rețeaua victimei și abia apoi încep să-și răspândească programul malițios pe dispozitivele din rețeaua targetată.