Leestijd: 4 minuten
Nieuwe ransomware, botnetdreiging: IKARUSvervallen aanval is augustus '17 Locky Rebirth
Een speciale update van het Comodo Threat Intelligence Lab
Een nieuwe ransomwarecampagne van augustus 2018 begon op 9 augustus en valt nietsvermoedende gebruikers over de hele wereld aan. Voor het eerst gedetecteerd door het Comodo Threat Intelligence Lab, dit is een grootschalige, op e-mail gebaseerde ransomware-aanval waarin een nieuwe Trojaanse malware-variant verschijnt als een onbekend bestand en in de infrastructuur van nietsvermoedende en onvoorbereide organisaties kan glippen.
Binnen slechts de eerste paar dagen van de gecoördineerde locky ransomware aanval, werden tienduizenden gebruikers het doelwit van een eenvoudig ogende e-mail met een bijlage en weinig tot geen inhoud in de hoofdtekst van de e-mail. De bijlage is een archiefbestand, met de naam "E 2017-08-09 (580).vbs," (voor elke e-mail is "580" een steeds veranderend nummer en "vbs" is een steeds veranderende extensie).
De bijgevoegde bestandsnamen zijn vergelijkbaar, maar de extensie is een .doc-, zip-, pdf- of afbeeldingsbestand (een .jpg of tiff). De bijlage downloadt eigenlijk "IKARUSdilapidated", het nieuwste lid van de "Locky" ransomware-familie. Genoemd naar de verschijningen van "IKARUSdilapidated" in de codereeks, is het duidelijk gerelateerd aan de "Ransom Locky" Trojan en deelt enkele van zijn kenmerken.
Social engineering wordt gebruikt om de gebruiker ertoe te brengen te klikken en wanneer de gebruiker de instructies volgt, slaan de macro's vervolgens een binair bestand op en voeren het uit dat het daadwerkelijke versleutelde Trojaanse paard downloadt, dat alle bestanden versleutelt die overeenkomen met bepaalde extensies, inclusief de meest voorkomende op de meeste machines. Na versleuteling geeft een bericht op het bureaublad van de gebruiker de opdracht om: download de Tor-browser, wat populair is omdat je er anoniem mee kunt browsen en vervolgens een specifieke, crimineel beheerde website kunt bezoeken voor meer informatie.
De website bevat instructies die een losgeld van 0.5 tot 1 bitcoin eisen (momenteel varieert één bitcoin in waarde tussen 500-1000 euro) om de nu versleutelde bestanden vrij te geven om (hopelijk) hun bestanden te decoderen.
Phishing- en Trojan-experts van het Comodo Threat Intelligence Lab (onderdeel van Comodo Onderzoekslaboratoria voor bedreigingen) deze nieuwe "Locky" gedetecteerd ransomware-aanvallen en geverifieerd dat ze op 9 augustus begonnen met meer dan 62,000 gevallen van phishing-e-mails die binnen slechts de eerste drie dagen werden gedetecteerd op door Comodo beveiligde eindpunten. De bijlagen werden gelezen als 'onbekende bestanden', ingesloten en toegang geweigerd totdat ze werden geanalyseerd door Comodo's technologie en, in dit geval, de menselijke experts van het laboratorium.
De Bedreiging Intelligentie Lab's analyse van de duizenden e-mails die in de phishing-campagne zijn verzonden, bracht deze aanvalsgegevens aan het licht: 11,625 verschillende IP-adressen in 133 verschillende landen worden gebruikt om deze campagne uit te voeren. De landen met de meeste aanvalsservers zijn Vietnam, India, Mexico, Turkije en Indonesië.
Het team dat de eigenaren van het IP-bereik controleerde, zag dat de meeste dat zijn: telecombedrijven en ISP's. Dit geeft aan dat de IP-adressen behoren tot geïnfecteerde, nu gecompromitteerde computers (ook wel 'zombiecomputers' genoemd). Dit aantal servers kan alleen voor een specifieke taak worden gebruikt als ze zijn gevormd tot een groot botnetwerk of botnet en een geavanceerde command and control-serverarchitectuur hebben. Dit betekent dat de beschrijving van de elementen van deze malware-aanval van augustus 2017 nu de term 'botnet' bevat, naast ransomware, trojans en phishing-aanvallen.
Het toont ook de toenemende verfijning, organisatie en omvang van nieuwe ransomware-aanvallen en voegt meer geloofwaardigheid toe aan de oproep om op te treden van beveiligingsexperts overal om "een standaard beveiligingshouding aan te nemen" en toegang tot uw IT-infrastructuur te weigeren aan nieuwe, "onbekende" bestanden.
Fatih Orhan, hoofd van het Comodo Threat Intelligence Lab en Comodo Onderzoekslaboratoria voor bedreigingen (CTRL), zei, “Deze nieuwste ransomware-phishing-aanval die op 9 augustus begon, was uniek in zijn combinatie van verfijning en omvang, met botnet en meer dan 11 duizend IP-adressen uit 133 landen die slechts bij de eerste fase van de aanval betrokken waren. Toen kunstmatige intelligentie deze onbekende bestanden niet kon identificeren, waren de volledige middelen van het laboratorium nodig om locky ransomware-analyse uit te voeren om de code in het bestand te identificeren en een oordeel te vellen; in dit geval was het vonnis "slecht" en we hebben het nu toegevoegd aan onze zwarte lijst en lijst met malware-handtekeningen.“
Orhan ging verder met te zeggen, “Het gebruik van 'default deny'-beveiliging met insluiting van onbekende bestanden is wat onze gebruikers beschermde tegen deze nieuwe ocky ransomware-dreiging. Zelfs 'standaard toestaan' plus de nieuwste machine learning algoritmen en AI zouden niet voldoende zijn geweest om infectie te voorkomen.”
Hij voegde eraan toe dat botnets, zoals degene die bij deze aanval werd gecreëerd, bijzonder krachtige wapens waren voor criminelen om hun ransomware-aanvallen op te schalen en dat door voort te bouwen op eerdere cyberaanval-trojans zoals "Locky" uit 2016, het gemakkelijker wordt om geavanceerde ransomware te ontwikkelen die wordt niet herkend als "slecht" door toonaangevende eindpuntbescherming platforms.
Technische analyse - Een diepere duik
Als je meer wilt weten over deze dreiging en dieper in de code wilt duiken en hoe de aanval is ingezet, lees dan de nieuwe “Comodo Threat Intelligence Lab SPECIAAL RAPPORT: AUGUSTUS 2017 – IKARUSvervallen.” Dit speciaal verslag en zijn bijlage omvatten:
- De technische analyse van Comodo Threat Intelligence Lab van een ingesloten monster van IKARUSdilapidated
- De scripts worden uitgevoerd tijdens de uitvoering
- Meer details over de extensies en locaties van de servers die bij de aanval zijn gebruikt
Dit speciale rapport en het Comodo Threat Research Labs Threat Report van de voorgaande kwartalen zijn te vinden in het gedeelte Rapporten op https://www.comodo.com/resources/
Gerelateerde bronnen:
Software voor het verwijderen van malware
Software voor bescherming tegen ransomware
START GRATIS VERZOEK KRIJG GRATIS UW DIRECTE BEVEILIGINGSSCOREKAART
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
- Bron: https://blog.comodo.com/comodo-news/new-locky-ransomware-trojan-spotted/
- :is
- 000
- 1
- 11
- 2017
- 2018
- 7
- a
- AI
- Over
- Handelen
- werkelijk
- toegevoegd
- toevoeging
- adressen
- Voegt
- Na
- algoritmen
- Alles
- toestaat
- analyse
- en
- Anoniem
- antivirus
- verschijningen
- architectuur
- Archief
- ZIJN
- GEBIED
- rond
- kunstmatig
- kunstmatige intelligentie
- AS
- At
- aanvallen
- Aanvallen
- Aanvallen
- Augustus
- BE
- omdat
- begon
- wezen
- tussen
- Bitcoin
- Blog
- lichaam
- Bot
- botnet
- botnets
- Bladeren
- Gebouw
- by
- Bellen
- Dit betekent dat we onszelf en onze geliefden praktisch vergiftigen.
- Campagne
- CAN
- geval
- kenmerken
- controleren
- duidelijk
- Klik
- code
- combinatie van
- Gemeen
- Aangetast
- computers
- Insluiting
- bevat
- content
- onder controle te houden
- gecoördineerd
- landen
- aangemaakt
- criminelen
- Op dit moment
- Cyber aanval
- gegevens
- dagen
- decoderen
- diepere
- Standaard
- Vraag
- ingezet
- beschrijving
- desktop
- detail
- gedetecteerd
- ontwikkelen
- anders
- downloads
- gedurende
- elk
- gemakkelijker
- geeft je de mogelijkheid
- e-mails
- encryptie
- Engineering
- toegang
- Euro
- Zelfs
- Event
- steeds veranderend
- deskundigen
- uitbreiding
- extensies
- familie
- weinig
- Dien in
- Bestanden
- Voornaam*
- Voor
- gevormd
- gevonden
- Gratis
- oppompen van
- vol
- verder
- krijgen
- het krijgen van
- Hebben
- met
- hoofd
- hoger
- Hopelijk
- behuizing
- Hoe
- HTTPS
- menselijk
- i
- identificeren
- beeld
- in
- omvatten
- omvat
- Inclusief
- meer
- Indië
- geeft aan
- Indonesië
- informatie
- Infrastructuur
- infrastructuren
- moment
- instructies
- Intelligentie
- betrokken zijn
- IP
- IP adressen
- IT
- HAAR
- jpg
- blijven
- laboratorium
- Labs
- Groot
- grootschalig
- laatste
- leidend
- als
- Lijst
- Elke kleine stap levert grote resultaten op!
- locaties
- Machines
- macro's
- malware
- Malware-aanval
- Match
- max-width
- middel
- lid
- Bericht
- Mexico
- meer
- meest
- naam
- Genoemd
- netwerk
- New
- Nieuwste
- aantal
- of
- on
- EEN
- organisatie
- eigenaren
- deel
- bijzonder
- vooral
- betaling
- PC
- Uitvoeren
- Phishing
- phishing-aanval
- phishing-campagne
- PHP
- platforms
- Plato
- Plato gegevensintelligentie
- PlatoData
- plus
- Populair
- krachtige
- voorkomen
- vorig
- Voorafgaand
- beschermd
- bescherming
- zetten
- hoeveelheid
- Konijn
- reeks
- Losgeld
- ransomware
- Ransomware-aanvallen
- Lees
- erkend
- verwant
- los
- verwijdering
- verslag
- Rapporten
- onderzoek
- Resources
- Revealed
- lopen
- Zei
- Bespaar
- Scale
- score kaart
- scripts
- veiligheid
- Servers
- Aandelen
- Shows
- gelijk
- website
- Maat
- sommige
- geraffineerd
- special
- specifiek
- Stadium
- Land
- voldoende
- doelgerichte
- Taak
- team
- Technisch
- Technische Analyse
- Technologie
- dat
- De
- de wereld
- hun
- Ze
- Deze
- duizenden kosten
- bedreiging
- Bedreigingsrapport
- drie
- niet de tijd of
- naar
- Tor
- Trojaans
- Turkije
- unieke
- bijwerken
- .
- Gebruiker
- gebruikers
- waarde
- Variant
- Vonnis
- geverifieerd
- Vietnam
- Bezoek
- Wapens
- web
- Wat
- welke
- wil
- Met
- binnen
- wereld
- zou
- Your
- zephyrnet
- Postcode
