Kuzey Koreli fidye yazılımı avcıları gözünü KOBİ’lere dikti • The Register


Kısaca KOBİ’ler dikkat: Microsoft bu hafta, geçen yılın Eylül ayından bu yana fidye yazılımlarıyla küçük işletmeleri hedef alan Kuzey Koreli bir ekip keşfettiğini söyledi.

Microsoft Tehdit İstihbarat Merkezi (MSTIC) araştırmacıları, kendisini H0lyGh0st olarak adlandıran grubun öncelikle parayla motive olduğu görülüyor. söz konusu. Çete, kendi adını taşıyan kötü amaçlı yazılımını kurbanın ağına yükledikten sonra, standart fidye yazılımı oyun kitabını takip eder: dosyaları şifrelemek ve verileri geri yüklemek için bir Bitcoin ödemesi talep etmek.

MSTIC’e göre, H0lyGh0st’in hedefleri “üretim organizasyonları, bankalar, okullar ve etkinlik ve toplantı planlama şirketleri dahil olmak üzere öncelikle küçük ve orta ölçekli işletmelerdi.” Microsoft, büyük olasılıkla fırsatların kurbanı olduğuna inanıyor.

H0lyGh0st, “zenginler ve fakirler arasındaki uçurumu kapatmak için” hareket ettiğini ve mağdurların güvenlik farkındalıklarını artırmalarına yardımcı olduğunu iddia ediyor (elbette bir ücret karşılığında). Microsoft, H0lyGh0st’ın niyetinden emin olamayacağını ve grubun Kuzey Kore hükümetine bağlı olup olmamasının eşit derecede makul olduğunu söyledi.

Microsoft’un raporundan açıkça anlaşılan, grubun Kuzey Kore’de bulunduğu ve en azından Andariel, DarkSeoul ve PLUTONIUM olarak bilinen başka bir Kuzey Kore siber çetesiyle iletişim halinde olduğu. Bu mürettebatın sorumlu olduğuna inanılıyor önceki saldırılar Güney Kore Savunma Bakanlığı, Sony ve SWIFT bankalarına karşı ve olası geliştiriciler WannaCry fidye yazılımı.

İkisi iletişim kurarken, aynı altyapı setinden çalışıyor ve benzer adlara sahip özel yapım kötü amaçlı yazılım kullanıyor olsa da, MSTIC’ler farklılıklarını “operasyon temposu, hedefleme ve ticari zanaat öneriyor” diyor. [H0lyGh0st] ve PLUTONYUM farklı gruplardır.”

MSTIC araştırmacıları, Microsoft Defender’ın (antivirüs ve uç nokta) H0lyGh0st enfeksiyonlarını algılayabildiğini söyledi. Ekip ayrıca tüm kuruluşların düzenli yedeklemeler ve kapsamlı, test edilmiş kurtarma planları gibi en iyi fidye yazılımı uygulamalarını izlemesini önerir.

Avukatlar, müvekkillerini siber fidye ödemekten uzak tutmaya çağırdı

İki İngiliz bekçi köpeğinin şefleri, bu ay ülkedeki avukatlara nazikçe eğilerek, brifingleri müşterileri fidye yazılımı taleplerine boyun eğmekten caydırmaya çağırdı.

İngiltere Bilgi Komisyonu Ofisi başkanı John Edwards ve Ulusal Siber Güvenlik Merkezi CEO’su Lindy Cameron bir mektupta şunları söyledi: [PDF] Hukuk Cemiyeti ve Baro Konseyi’ne “fidye yazılımı saldırılarındaki ve ödemelerindeki artışın İngiliz yasaları hakkındaki yanlış inançların göstergesi olduğunu” söyledi.

“Fidye ödenmesinin çalınan verileri koruyabileceği ve/veya ICO tarafından bir soruşturma başlatması halinde daha düşük bir ceza ile sonuçlanabileceğine dair bir inancın devam ettiği bize önerildi. Durumun böyle olmadığını açıklığa kavuşturmak istiyoruz. “dedi ikili.

Edwards ve Cameron, “ödeme daha fazla saldırıyı teşvik eder” şeklindeki yaygın nakaratın ötesinde, kuruluşların neden vazgeçmemeleri gerektiğine dair bazı nedenler veriyor.

Birincisi, fidye yazılımı ödemelerinin genellikle yasa dışı olmadığını, ancak saldırganların bulunduğu ülkelere yönelik yaptırımlara bağlı olabileceğini söylediler. Yaptırımların değiştirilmesi, bir saldırgana yapılan ödemenin sanıldığından daha riskli olabileceği anlamına gelir.

Temel bir yanlış anlama, fidye ödemenin riski azalttığı ve bu nedenle şirketin ihmalkar olduğu tespit edilirse ICO’ya borçlu olunan para cezalarını azaltacağı gibi görünüyor. Mektupta, “Bu, herhangi bir cezayı azaltmaz” diye yazdılar.

ICO’nun riskin azaltılmasını tanımasına neden olabilecek şey, kuruluşların “ne olduğunu tam olarak anlamak ve bundan öğrenmek için adımlar atması” ve ayrıca olayı NCSC’ye ve kolluk kuvvetlerine uygun şekilde bildirmesidir.

Edwards ve Cameron, yukarıda belirtilen hukuk meslek kuruluşlarına yazarak, fidye yazılımı ödemeleri ve yanıtlarına ilişkin mesajlarının avukatlara iletileceğini ve bunun da müşterilerin enfeksiyonları daha uygun şekilde ele almasına yardımcı olacağını umuyorlar.

Göre yakın zamanda bildiri Güvenlik ve Teknoloji Enstitüsü’nden ABD ve İngiltere, fidye yazılımı olaylarının sayısında dünya lideri. 2022, IST raporuna göre, fidyecilere sessizce ödeme yapan ve her şeyi suskun tutan organizasyonlardan kaynaklanabileceğini söylediği bir yavaşlama belirtileri gösterdi. Fidye yazılımı sapanları da başladı şantaj yapan işletmeler bilgileri gerçekten şifrelemeden – bunun yerine sadece verileri sifonlayarak – bu da saldırılarda azalma olmadan daha az rapora katkıda bulunabilir.

Mikroskop altında OrBit Linux kötü amaçlı yazılımı

Infosec ekibi Intezer, virüs tarayıcıları tarafından büyük ölçüde fark edilmeden bu ay başlayan bir x86-64 Linux kötü amaçlı yazılım türünü tersine mühendislikle geliştirdi.

dublajlı OrBityeni keşfedilen kötü yazılım, çalışan her sürece kendi yolunu bağlayabilir, okunan veya yazılan verileri kopyalayabilir, uzaktan erişim sağlar ve güvenliği ihlal edilmiş bir sisteme enjekte edildiğinde kalıcı veya geçici olabilir.

Intezer’e göre bu ayın başlarında, VirusTotal’daki tarayıcıların hiçbiri bunun farkında değildi, ancak şimdi alıyorlar.

OrBit zararını, uygulamalar ve programlar çalıştırıldığında libc, libcap ve PAM’deki işlevleri ele geçiren kötü amaçlı bir paylaşılan nesne dosyasını sistemde saklayarak yapar.

İşlev kancalama yaygın bir kötü amaçlı yazılım metodolojisidir, ancak Intezer, LD_PRELOAD gibi bir paylaşılan kitaplık yükleyerek işlevleri olağan şekilde bağlamadığını not eder. ortakyaşamIntezer araştırmacılarının da keşfettiği.

Bunun yerine, OrBit kötü amaçlı içeriğini iki yoldan biriyle yükler: ya yukarıda bahsedilen paylaşılan nesneyi sistemin dinamik bağlayıcı/yükleyici yapılandırma dosyasına ekleyerek ya da kötü amaçlı nesneyi yükleyecek şekilde yükleyicinin ikili dosyasını yamalayarak.

OrBit ayrıca şifreleri çalmak için XOR şifreli dizeleri kullanır. daha önce keşfedilen Linux arka kapıları, ancak Intezer, bilgileri okuma ve yazma işlevlerini bağlayarak – ve bununla ne yaptığı – virüslü makinede belirli bir yerde saklayarak nasıl çıkardığının farklı olduğunu söyledi.

Siber suçluların yeni bir dolandırıcılık başlatması 30 dakikadan az sürer

Siber suçlular zaman kaybetmezler. O kadar hızlı hareket ederler ki bir Sophos’tan rapor sadece 28 dakikada bir alan adı kaydettirmekten kimlik avı mesajları göndermeye kadar giden bir Facebook 2FA dolandırıcılığı buldu.

Dolandırıcılık hiçbir şekilde karmaşık ve hatta yeni değildir: Facebook sayfası yöneticilerine Sayfalarının Facebook kullanım şartlarını ihlal ettiğini söyleyen mesajları içerir. Akıllıca gizlenmiş bir bağlantı, kurbanları, dolandırıcının yakın zamanda kaydettiği etki alanına gönderir; burada markanın kişisel bilgilerini vermesi ve kimliklerini doğrulamak için oturum açması istenir.

Dolandırıcılığın iki faktörlü kimlik doğrulama kısmı, Facebook Code Generator’dan altı haneli kodu isteyen sahte oturum açma işleminden sonra gelir. Sophos araştırmacıları, “teorik olarak suçlulara tek seferlik kodu kendi sahte Facebook giriş denemelerinde kullanmaları için 30 saniye ile birkaç dakika arasında bir süre veriyor” dedi.

Dolandırıcılığın kanıtlarını daha fazla gizlemek için, kimlik avı alanı, işlemin sonunda kullanıcıları meşru bir Facebook sayfasına geri gönderir.

Siber suçluların bu tür kampanyalarda aradığı en önemli şey, acelesi olan insanlardır. Sophos, “Zamanınızı ayırarak onların aceleciliğine karşı savaşın,” dedi. Biz, asıl hedefi gizlemediklerini doğrulamak için URL’leri dikkatli bir şekilde kontrol etmenizi, hesapları belirli bir URL ile ilişkilendiren bir şifre yöneticisi kullanmanızı (dolayısıyla kimlik avı sayfalarına giriş yapmayacaktır) ve benzer e-postaları masaüstünde yanıtlamayı düşünmenizi önerir. , burada daha büyük bir ekran gizli URL’leri veya bir dolandırıcılığın diğer öğelerini daha kolay ortaya çıkarabilir.

Vice şuradan kod aldı: 0maslında bir FBI bal küpü olan ve açık kaynaklı uygulamalardan bir araya getirilmiş gibi görünen şifreli bir mesajlaşma uygulaması. Kod ayrıca gösterir Federaller mesajları nasıl okuyabildi: An0m kullanıcı arkadaş listelerinden gizlenen, ancak bunlara dahil olan bir “hayalet” bot, her mesajın kopyalarını gönderdi. An0m’nin merkezi bir parçası olduğu Truva Kalkanı Operasyonu, FBI’ın uyuşturucu, araç ve silahlarla birlikte 148 milyon dolardan fazla paraya el koyduğunu gördü.

Canı sıkılan gençler, harçlıklarını doldurmak için yeni bir rakete yöneliyor: Discord’da emtia kötü amaçlı yazılım satmak, göre Avast araştırmacıları. Aktiviteye dahil olan reşit olmayanlar mutlaka bilgisayar korsanı olmayı öğrenmiyorlar: Avast, basit özelleştirme seçeneklerine sahip kodsuz kötü amaçlı yazılım oluşturma araçlarının günümüzün küçük siber suçluları için ağ geçidi olduğunu söyledi. Avast, bu kadar basitliğin aldatıcı olabileceği ve gençlerin yapacağı basit hataların kolaylıkla kişisel verilerin çalınmasına yol açabileceği konusunda uyarıyor.

Popüler drone RC protokolü ExpressLRS, korsanlığa eğilimli

Düşük gecikme süresi ve yüksek menzili sayesinde dronlar tarafından yaygın olarak kullanılan açık kaynaklı bir radyo kontrol bağlantısı olan ExpressLRS’nin kolayca ele geçirildiği bulundu.

Yalnızca standart bir ExpressLRS uyumlu verici kullanarak, NCC Group araştırmacıları kontrolü ele geçirmeyi başardılar “ilk olarak ilgili bir vericiden gelen trafiği gözlemledikten sonra herhangi bir alıcının.”

Sorun, ExpressLRS’nin yalnızca MD5 hashing kullanan verici ve alıcı çiftlerine sabit kodlanmış bir bağlama ifadesi kullanmasından kaynaklanmaktadır. uzun süredir güvensiz olarak kabul edilen. NCC Group’a göre, zayıf güvenlik, sinyalleri dinlemekten ifadenin bir kısmını çıkarmayı mümkün kılarken, geri kalanını belirlemek için kaba kuvvet ve analiz kombinasyonu kullanılabilir.

NCC Group, “Tam tanımlayıcı keşfedildikten sonra, alıcıyı içeren aracı kontrol etmek için bir saldırganın vericisini kullanmak, bağlayıcı ifade hakkında hiçbir bilgisi olmadan mümkün” dedi. Araştırmacılar, uçuş halindeki bir insansız hava aracının bu şekilde kaçırılmasının muhtemelen bir kazaya neden olabileceğini yazdı.

NCC Group, sorunu ilk olarak geçen yıl Aralık ayında ExpressLRS GitHub deposunun sahibiyle açıklamıştı, ancak ExpressLRS’nin sahipleri, NCC Group’tan gelen çekme isteklerini iki kez reddetti; NCC raporunda, birincisi talebin boyutundan, ikincisi ise “NCC ve geliştiriciler arasındaki farklı görüşlerden” kaynaklandı.

NCC, ExpressLRS’nin kontrol bağlantısı üzerinden UID göndermeyi durdurmasının yanı sıra havadan FHSS dizileri oluşturmak için kullanılan verileri göndermemesini tavsiye etti. NCC ayrıca, FHSS dizisindeki bazı değerleri kopyalayan rasgele sayı üretecinin, hack’i sağlayan şeyin bir parçası olarak iyileştirilmesini de önerir.

Bu değişikliklerin NCC’nin reddedilen çekme talepleri dışında yapılıp yapılmadığı belli değil.

Sahte ISP ile fakirleri dolandırmakla suçlanan adam

FCC, Ohio’daki bir internet servis sağlayıcısının fakir aileleri dolandırmak için bir dolandırıcılıktan başka bir şey olmadığını iddia ediyor.

Sözde ISP Cleo Communications’ın sahibi Kyle Traxler, belirli kriterleri karşılayan hanelere aylık 50 dolarlık indirim sağlayan acil durum geniş bant fayda (EBB) programını kötüye kullandığı için ABD düzenleyicisi tarafından 220.210 dolar para cezasıyla karşı karşıya.

EBB o zamandan beri FCC’lere dahil edildi Uygun Fiyatlı Bağlantı Programı.

FCC’nin yasal olarak tek ve aynı tüzel kişi gibi göründüğünü söylediği Traxler ve Cleo Communications, hizmet ve donanım alma vaadiyle uygun hanelerden ödeme almak için elektronik dolandırıcılık yapmakla suçlanıyor. Bize söylenene göre hizmet hiçbir zaman gerçekleşmedi ve FCC’ye şikayetler yağmaya başladı.

“Cleo’nun EBB Programına katılma bahanesiyle tüketicileri dolandırma planları, avladığı düşük gelirli tüketicilere sadece parasal olarak değil, aynı zamanda bu veya herhangi bir programın amaçlarına etkili bir şekilde ulaşmak için ihtiyaç duyduğu güven ve iyi niyete de ciddi zarar verdi. “dedi FCC şikayetinde.

FCC, Traxler’in hiçbir zaman EBB programına kaydolmadığını veya ABD hükümetinden fon almadığını ve bunun yerine dolandırıcılığı yürütmek için doğrudan insanlara gittiğini söyledi. FCC, “Cleo’nun bariz ihlallerinin kapsamını, süresini, ciddiyetini ve korkunçluğunu yansıttığını” söylediği mümkün olan en yüksek cezayı uygulamaya çalışıyor.

Bu, FCC’nin EBB programını dolandırmaya çalışan şirketleri ilk yakalayışı olmayacak. Kasım 2021’de FCC Genel Müfettişi bir danışma uygun toplulukların üyelerini, ISP satış temsilcilerinin EBB uygunluğu için okul kayıtlarını tahrif ettikleri konusunda uyardı. ®



Kaynak : https://go.theregister.com/feed/www.theregister.com/2022/07/16/north_korea_targets_small_business/

Yorum yapın