A LockBit újraéled és fel akarja venni a kesztyűt a hatóságokkal

Beküldte kami911 - 2024. már. 05. 17:44

A LockBit csoport, kevesebb mint egy héttel azután, hogy a bűnüldöző szervek feltörték a szervereit, új infrastruktúrán indítja újra műveleteit, és azzal fenyegetőzik, hogy még több támadást intéznek a kormányzati szektor ellen.

A banda egy hosszú üzenetet tett közzé a betörést lehetővé tevő gondatlanságukról és a művelet további részleteiről. Közleményükben arra hivatkoznak, hogy “személyes hanyagság és felelőtlenség” vezetett ahhoz, hogy a bűnüldöző szervek megzavarták a tevékenységüket. Bejelentették, hogy folytatják a műveleteiket.

Parkolópályára került a LockBit

Beküldte kami911 - 2024. feb. 21. 21:16

A bűnüldöző szervek letartóztatták a LockBit zsarolóvírus csoport két újabb tagját. Miután egy nemzetközi művelet során feltörték a kiberbűnöző banda szervereit, lefoglaltak több mint 200 kriptotárcát és létrehoztak egy dekódoló eszközt a titkosított fájlok ingyenes visszaállítására.

A VMware temékek automatizált támadásával zsarolnának

Beküldte kami911 - 2024. feb. 17. 12:32

A RansomHouse bűnözői csoport új eszközt, az „MrAgent”-et fejlesztette ki, amely automatizálja adattitkosítójának telepítését több VMware ESXi hipervizoronra.

Online zsarolóprogram dekódolót adott ki a CyberArk

Beküldte kami911 - 2024. feb. 03. 08:08

A CyberArk létrehozta „White Phoenix” nevű nyílt forráskódú zsarolóvírus online dekódolót, amely az intermittáló titkosítást alkalmazó ransomware-ek ellen segíthet.

A CISA újabb 6 hibát vett fel a KEV katalógusba

Beküldte kami911 - 2023. jún. 29. 05:53

A CISA hat új hibát vett fel a KEV (Known Exploited Vulnerabilities) katalógusába:

az Apple által már javított 3 hibát (CVE-2023-32434, CVE-2023-32435 és CVE-2023-32439),
két VMware hibát (CVE-2023-20867 és CVE-2023-20887),
egy Zyxel hibát (CVE-2023-27992).

Sajnos elindult az RTM szolgáltatás

Beküldte kami911 - 2023. máj. 02. 01:25

Úgy tűnhet, hogy szinte minden nap újabb ransomware-as-a-service (RaaS) szolgáltató tűnik fel a palettán. Az úgynevezett „Read The Manual” (RTM) Locker banda korábban az elektronikus bűnözés területén tevékenykedett, mostanában azonban vállalati környezeteket céloznak meg a zsarolóprogramjukkal, és szigorú szabályokat írnak elő az alvállalkozóiknak. Vajon csak egy újabb zsarolóvírus banda, vagy ennél több rejlik e mögött a csoport mögött és a programjuk mögött? Az RTM Locker banda alvállalkozókat von be azzal a céllal, hogy áldozatokat zsaroljanak meg.

Linux malwarek: Az igazság a növekvő fenyegetésről

Beküldte T.István - 2023. már. 16. 18:53

Ebben a cikkben megpróbálom összefoglalni az aktuális helyzetet a Linuxot érintő kártevőket illetően. Ez az összefoglaló jelenleg érvényes, a blog közzétételének idején. A cikk az írás végén található forrás alapján készült, ami nagy részben lefordítva alább is megtalálható. A hivatkozott cikk 2023 január elején készült. Azóta már napvilágot látott egy olyan jószág, ami az eddig feltörhetetlennek hitt Secure Boot /TPM 2.0 rendszert is képes feltörni, még akár Windows 11 alatt is, és az UEFI területre fúrja be magát.

Feltűnt egy új Linux IceFire Ransomware-változat

Beküldte T.István - 2023. már. 16. 07:59

Összegezve: a cikkben említett zsarolóprogram az IBM Aspera Faspex fájlcserélő rendszer hibáját használja ki a fertőzéshez. Az IBM Aspera Faspex hasonló a SendAnywhere-hez, azaz a kliens program feltölti egy IBM szerverre a küldendő fájlt, a címzettnek meg küld egy levelet a letöltési linkkel. Ha nem használod ezt a fájlcserélőt, akkor ez a fenyegetés nem érint, de az eset tanulsága az, hogy a Linux sajátosságainak köszönhetően ezek a férgek másként terjednek, mint a Windowst célzó változatok.

Ransomware támadás érte a brit KFC és Pizza Hut éttermeket

Beküldte kami911 - 2023. jan. 23. 05:26

Az itthon is ismert KFC, Pizza Hut, és az itthon kevésbé ismert Taco Bell, és The Habit Burger Grill étteremláncokat franchise rendszerben üzemeltető Yum! Brands, Inc. január 18-án bejelentette, hogy ransomware támadás érte őket, ami bizonyos informatikai rendszereiket érintette.

A Play zsarolóvírusról

Beküldte kami911 - 2023. jan. 08. 10:23

A Play zsarolóvírus (más néven PlayCrypt) egy új zsarolóprogram, amely 2022 júniusában fedeztek fel először. A Play zsarolóvírussal folytatott támadások világszerte folyamatosan szedik az áldozataikat. A Play a közelmúltban azzal került be a hírekbe, hogy segítségével megtámadták az argentin Cordobai Igazságügyi Minisztériumot és a német „H-Hotels” szállodaláncot, továbbá Antwerpen város informatikája és a Rackspace is áldozatul esett ilyen támadásnak. A Play támadásai a latin-amerikai régió szervezeteire összpontosítanak - Brazília az elsődleges célpontjuk. Indiában, Magyarországon, Spanyolországban és Hollandiában is megfigyelték ezeket a támadások végrehajtásában. A Cobalt Strike által kompromittálódott célpontokat, illetve nemrég kezdték el kihasználni a Microsoft Exchange ProxyNotShell sebezhetőségeit is. A csoport taktikája és technikái hasonlóak a Hive és a Nokoyawa zsarolóvírus-csoportokhoz, ami a kutatók szerint arra enged következtetni, hogy a Play-t ugyanazok az emberek működtetik. Vessünk egy pillantást a Play ransomware-re, taktikáikra és technikáikra, valamint arra, hogy a szervezetek hogyan védekezhetnek az ilyen típusú fenyegető szereplők ellen.

Általánosságban a zsarolóvírusokról

Beküldte kami911 - 2023. jan. 08. 09:42

Zsarolóvírus (ransomware) olyan kártékony szoftver, amelynek célja valamilyen módon „túszul ejteni” a felhasználók informatikai eszközein tárolt adatait, amelyek visszaszerzéséhez váltságdíj megfizetését kéri a támadó. A ransomware támadások általános jellemzői:

állományok titkosítása,
zsaroló üzenet (ransomnote),
határidő a váltságdíj kifizetésére,
állományok egy részének törlése.

Hogyan történik a fertőzés?

A leggyakoribb fertőzési módok között szerepel a kéretlen e-mail üzenetek káros csatolmányával, valamint káros weboldalak útján történő fertőzés. Ennek kapcsán meg kell említenünk az online hirdetések szerepét is, mivel sok esetben ezek segítségével ejtik csapdába a felhasználókat. Az is jellemző, hogy a támadók valamely sérülékenységet (pl.: a CVE-2017-0144 számú, lásd WannaCry támadás), hibás konfigurációt (például: gyenge jelszó, RDP) vagy felhasználói mulasztást kihasználva illetéktelenül hozzáférnek egy rendszerhez, amin azután a káros kódot futtatják.

A levelekben a támadók többnyire megtévesztő módon számlákra, hivatalos dokumentumokra hivatkozva próbálják rávenni az áldozatot, hogy nyissa meg a mellékletet ─ amely gyakran egy „.exe”, vagy „.pdf” kiterjesztésű fájl ─, valamint a levélben található hivatkozást. Amennyiben a felhasználó megnyitja a fertőzött állományt, a kód lefut, és céljainak megfelelően titkosítja az elérhető adatokat.

A zsarolóvírusok általában aszimmetrikus titkosító algoritmusokat alkalmaznak, amelyek nehezen törhetőek, ezért általában csak abban az esetben van mód az állományok visszafejtésére, amennyiben a vírus készítői programozási hibát vétettek, vagy önként nyilvánosságra hozzák a dekriptáláshoz szükséges mester kulcsot (lásd: TeslaCrypt esetében).

Új zsarolóvírus tűnt fel

Beküldte Kabika - 2017. jan. 07. 08:23

A KillDisk zsarolóvírus a Windowsok mellett a Linux alapú operációs rendszereket is támadja, a nagyjából 250 ezer dolláros váltságdíjért pedig nem kap a felhasználó semmit.

ransomware

A LockBit újraéled és fel akarja venni a kesztyűt a hatóságokkal

Parkolópályára került a LockBit

A VMware temékek automatizált támadásával zsarolnának

Online zsarolóprogram dekódolót adott ki a CyberArk

A CISA újabb 6 hibát vett fel a KEV katalógusba

Sajnos elindult az RTM szolgáltatás

Linux malwarek: Az igazság a növekvő fenyegetésről

Feltűnt egy új Linux IceFire Ransomware-változat

Ransomware támadás érte a brit KFC és Pizza Hut éttermeket

A Play zsarolóvírusról

Általánosságban a zsarolóvírusokról

Új zsarolóvírus tűnt fel

Szavazás

Nevezd meg! – Így add tovább!

Asztali környezetek

Kövess minket

Hivatkozások

Keresés az oldalon

Bejelentkezés

Szavazás