Malware Joker / Czy to koniec REvil? / Nowa luka Windows Print Spooler

W tym wydaniu mamy dla was kilka niepokojących „powtórek”. Zaczynamy od malware Joker, który powrócił do Google Play. Do tej pory z tego marketplace usunięto już 1800 niebezpiecznych aplikacji. Nowa wersja dużo skuteczniej unika różnego typu zabezpieczeń – zarówno tych wbudowanych w urządzenia, jak i skanerów Play Protect. Tak więc instalując nowe aplikacje, miejcie się na baczności. Kolejny interesujący news… Media na całym świecie zastanawiają się czy to jest już koniec REvil. W ostatnich dniach, największy na świecie gang ransomware w tajemniczy sposób po prostu zniknął z sieci. Czy na dobre? Kolejne tygodnie pokażą. Jak się okazuje problem z Windows Print Spooler również powraca – tym razem z jeszcze gorszymi reperkusjami. Nowa luka – przed którą ostrzega Microsoft – może zostać wykorzystana do wykonywania nieautoryzowanych działań w systemie. Szczegóły znajdziecie oczywiście poniżej.

Malware Joker powraca do Google Play – nowa wersja to zagrożenie zarówno dla konsumentów jak i przedsiębiorstw

Joker został wypatrzony po raz pierwszy w 2017 roku. Malware zwykle ukrywa się w popularnych, aplikacjach, takich jak Aparat, różnego typu grach, komunikatorach, edytorach zdjęć, tłumaczach i zbiorach tapet. W ciągu ostatnich czterech lat ponad 1800 zainfekowanych aplikacji zostało usuniętych ze sklepu Google Play.

Joker gościł na naszym blogu już kilkakrotnie. Chcesz dowiedzieć się więcej na jego temat? Zobacz wcześniejsze wpisy Centrum Bezpieczeństwa. Znajdziesz je tutaj, tutaj oraz tutaj.

Po zainstalowaniu aplikacji, Joker symuluje kliknięcia i przechwytuje wiadomości SMS ofiary, aby zasubskrybować ją do niechcianych płatnych usług premium będących pod kontrolą atakujących. Aplikacja wykrada również wiadomości SMS, listy kontaktów i informacje o urządzeniu.

Twórcy najnowszej wersji Jokera wykorzystują legalne techniki programistyczne, aby ominąć zarówno zabezpieczenia wbudowane w urządzeniach, jak i zabezpieczenia sklepu Google Play.

Wykorzystują m.in. Flutter, open-source’owy app development kit stworzony przez Google, który pozwala tworzyć natywne aplikacje na urządzenia mobilne, wersje webowe oraz desktop w ramach jednego zbioru kodu. Dodatkowo, dzięki Flutter kod złośliwej aplikacji prezentuje się bardzo prawidłowo i czysto.

Przestępcy zdecydowali się również osadzić payload w pliku .DEX, który można zaciemnić na wiele sposobów, na przykład zaszyfrować za pomocą liczby lub ukryć w obrazie (steganografia). W tym drugim przypadku, obraz jest często przechowywany w legalnych repozytoriach w chmurze lub na serwerze dowodzenia (C2).

Atakujący sięgnęli również po URL shorteners, które wykorzystują do ukrywania adresów serwerów C2 oraz kombinacji bibliotek natywnych do odszyfrowywania payload ze statusem offline.

Złośliwe oprogramowanie podejmuje również inne dodatkowe środki ostrożności. Wszystko po to, aby jak najdłużej pozostać w ukryciu.

Źródło

Policja przejęła nielegalną farmę tysięcy PS4, która służyła do wydobywania kryptowalut 

Służba Bezpieczeństwa Ukrainy (SBU) zamknęła działającą na wyjątkowo szeroką skalę nielegalną farmę urządzeń wydobywającą kryptowaluty. Według oficjalnego raportu, przestępcy prowadzili swoją działalność wprost z pomieszczeń gospodarczych lokalnego dostawcy energii elektrycznej.

Zdjęcie: SBU

Podczas nalotu, funkcjonariusze skonfiskowali prawie 5000 jednostek sprzętowych, w tym 500 GPU, 3800 konsol do gier PlayStation 4, 50 procesorów, telefony komórkowe, dyski flash, notatniki i dokumenty.

Przestępcy nielegalnie podpięli się do sieci elektrycznej, co na dłuższą metę mogło doprowadzić do całkowitego zaciemnienia sąsiadujących z elektrownią dzielnic miasta Vinnytsia. Miesięczna wartość kradzionej energii elektrycznej wynosiła nawet 259 tys. dolarów amerykańskich. 

To nie pierwszy tak głośny przypadek…

W 2019 roku chińskie organy ścigania odkryły kable w stawach rybnych. Po wypuszczeniu w powietrze dronów namierzono lokalizację farmy, która została ukryta w… szopie. 

Źródło

Koniec REvil? Największy na świecie gang ransomware w tajemniczy sposób znika z sieci

We wtorek jeden z najbardziej zuchwałych i groźnych gangów ransomware na świecie – REvil – nagle zniknął z sieci. Serwery i strony REvil w tajemniczy sposób wyłączono zaledwie kilka dni po tym, jak prezydent USA Joe Biden wezwał prezydenta Rosji, Vladimira Putina, aby zamknął grupy ransomware atakujące amerykańskie cele. Co więcej, na dzień później zaplanowane było spotkanie urzędników z Białego Domu i Rosji w celu omówienia globalnego kryzysu związanego z oprogramowaniem ransomware.

Ta sytuacja sugeruje, że REvil (a.k.a. Sodin lub Sodinokibi) był rzeczywiście grupą pochodzącą z Federacji Rosyjskiej. Wskazywało na to wcześniej kilka innych faktów. REvil jest rosyjskojęzyczną grupą, ich oprogramowanie nigdy nie uderzyło w rosyjski cel, a grupa jest powiązana z innymi ugrupowaniami hakerskimi pochodzącymi z Rosji. 

Krążą pogłoski, że grupa REvil otrzymała rządowe wezwanie do całkowitego usunięcia infrastruktury serwerowej i zniknięcia. Ale nie jest to potwierdzona informacja.

“Portfolio REvil” – czyli krótka długa historia. Ekipa ransomware znana jako REvil od wielu lat dynamicznie rozwija się w cyber-światku. Odpowiada za aż 42% wszystkich niedawnych ataków. Grupa od lat testuje różne techniki – malvertising, double extortion, wykupywanie innego złośliwego oprogramowania itp. oraz różne modele biznesowe. Jednym z najbardziej dochodowych jest model Ransomware-as-a-Service, w którym szybko stali się liderem na cyber-rynku i zbili fortunę.

Wśród ofiar REvil są największe korporacje – Acer, Quanta Computer, JBS i inne. Ofiarami padli również celebryci – Madonna, Drake, Lady Gaga, czy były prezydent Stanów Zjednoczonych, Donald Trump. W Centrum Bezpieczeństwa Xopero wielokrotnie pisaliśmy o atakach REvil – zbiór newsów znajdziesz poniżej. 

Niedawno gang ten zaszyfrował 60 dostawców MSP i ponad 1,5 tys. firm, korzystając z luki zero-day w oprogramowaniu Kaseya VSA. Przestępcy zażądali okupu w wysokości 70 milionów dolarów i obniżyli cenę do 50 mln USD. I to prawdopodobnie był punkt zapalny do ich zamknięcia…

Czas otworzyć szampana? Cóż, nie spieszmy się ze świętowaniem. Zwykle, gdy grupy oprogramowania ransomware są zamykane, związani z nimi hakerzy odradzają się pod nową formacją i nazwą, aby kontynuować swoje przestępcze działania. Przypomnijmy – grupa REvil powstała w wyniku reaktywacji członków gangu GrandCrab. Ponadto, wyeliminowanie grupy nie powoduje, że z rynku zniknie samo oprogramowanie ransomware. Z pewnością więc, wrócimy jeszcze do tej historii…

Centrum Bezpieczeństwa Xopero ostrzega przed REvil:
  1. Atak REvil na Kaseya VSA ciąg dalszy: fałszywa aktualizacja infekuje Cobalt Strike
  2. Amerykański kontraktor od broni jądrowej ofiarą REvil ransomware
  3. REvil ma nowy cel – maszyny wirtualne ESXi
  4. Hackerzy od REvil informują, że będą wrzucać do sieci dane ofiar
  5. Gang REvil kupuje malware KPOT na hakerskiej aukcji za 6,5 tys. dolarów
  6. eBay dla cyberprzestępców – grupa od REvil wystawia na aukcji skradzione dane
  7. REvil atakuje kancelarię prawną Madonny, Drake’a, Lady Gagi i innych celebrytów

Źródła 12

Microsoft ostrzega przed nową luką Windows Print Spooler

Microsoft udostępnił wskazówki dotyczące kolejnej luki w zabezpieczeniach usługi Windows Print Spooler. Twierdzi jednocześnie, że zostanie załatana w nadchodzącej aktualizacji zabezpieczeń.

Śledzona jako CVE-2021-34481 (ocena CVSS: 7.8) dotyczy usterki lokalnej eskalacji uprawnień, która może zostać wykorzystana do wykonywania nieautoryzowanych działań w systemie.

„Luka umożliwia podniesienie uprawnień, gdy usługa Windows Print Spooler niewłaściwie wykona uprzywilejowane operacje na plikach. Osoba atakująca, której uda się wykorzystać tę lukę, może uruchomić dowolny kod z uprawnieniami typu SYSTEM. […] Osoba atakująca może następnie instalować programy, wyświetlać, zmieniać lub usuwać dane a nawet stworzyć nowe konta z pełnymi prawami użytkownika.” – twierdzi Microsoft w swoim poradniku.

Pomyślne wykorzystanie luki wymaga jednak, aby atakujący miał możliwość wykonania kodu w systemie ofiary. Potrzebuje więc lokalnego dostępu. Tym samym nasuwa się wniosek, że luka nie jest powiązana z głośnym błędem PrintNightmare, który można wykorzystać zdalnie. 

Na ten moment o luce wiadomo tyle, że podatne są systemy Windows, a ona sama powiązana jest ze sterownikami drukarki. 

Chociaż firma Microsoft nie wydała jeszcze aktualizacji zabezpieczeń usuwających tę lukę, administratorzy mogą zabezpieczyć firmy włączając usługę Windows Print Spooler za pomocą poleceń PowerShell: 

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupType Disabled

Należy pamiętać, że po wyłączeniu usługi na urządzeniu, nie będzie ono mogło połączyć się z drukarką.

Źródła 12