1. Przest\u0119pcy wykorzystuj\u0105 Unicode i HTML do wprowadzania w b\u0142\u0105d filtr\u00f3w antyphishingowych<\/strong><\/h2>\n\n\nCyberprzest\u0119pc\u00f3w powi\u0119kszyli sw\u00f3j arsena\u0142. Tym razem si\u0119gn\u0119li po sztuczki z HTML\/CSS oraz Unicode i w efekcie ca\u0142kiem skutecznie omijaj\u0105 narz\u0119dzia blokuj\u0105ce podejrzane wiadomo\u015bci.<\/p>\n\n\n\n
Mo\u017cna wi\u0119c \u015bmia\u0142o powiedzie\u0107, \u017ce w tym roku zetkn\u0119li\u015bmy si\u0119 ju\u017c z kilkoma innowacyjnymi technikami phishingu.<\/p>\n\n\n\n
Niekt\u00f3rzy przest\u0119pcy ukrywaj\u0105 tekst dzi\u0119ki czcionce o wielko\u015bci 0px. Inni umieszczaj\u0105 niewidoczne znaki pomi\u0119dzy w\u0142a\u015bciwymi literami wiadomo\u015bci. Dzi\u0119ki temu tre\u015b\u0107 \u201ehas\u0142o wygas\u0142o\u201d lub \u201eOffice 365\u201d pozytywnie przechodzi analiz\u0119 filtr\u00f3w. Jeszcze inni za to wykorzystuj\u0105 swoj\u0105 wiedz\u0119 z zakresu HTML, CSS i Unicode do ukrywania wiadomo\u015bci phishingowych w wyj\u0105tkowo sprytny spos\u00f3b.<\/p>\n\n\n\n
Jedna z nowych technik wykorzystuje \u201emi\u0119kki \u0142\u0105cznik\u201d Unicode, znany r\u00f3wnie\u017c jako \u201e\u0142\u0105cznik sylaby\u201d. Podczas sk\u0142adu s\u0142u\u017cy do informowania modu\u0142u renderuj\u0105cego, gdzie bezpiecznie przerwa\u0107 wiersz i wstawi\u0107 widoczny \u0142\u0105cznik. Mi\u0119kki \u0142\u0105cznik jest zwykle wy\u015bwietlany jako niewidoczny. W takiej sytuacji narz\u0119dzie bezpiecze\u0144stwa szukaj\u0105c frazy\u201ezmie\u0144 swoje has\u0142o\u201d, nie da \u017cadnych wynik\u00f3w. To dlatego, \u017ce atakuj\u0105cy zapisali je w rzeczywisto\u015bci w takiej postaci: \u201ez-m-i-e-\u0144 -s-w-o-j-e -h-a-s-\u0142-o-\u201d. Skanery nie s\u0105 konfigurowane do wyszukiwania tego typu tre\u015bci, wi\u0119c mog\u0105 nie zg\u0142asza\u0107 \u017cadnych ostrze\u017ce\u0144.<\/p>\n\n\n\n
Nast\u0119pny przyk\u0142ad. Atakuj\u0105cy wpisuje \u201eOffice 365<\/a>\u201d z u\u017cyciem tagu HTML <font>, aby sprawia\u0142o wra\u017cenie \u017ce u\u017cytkownik ma do czynienia z logotypem. Ludzie cz\u0119sto rejestruj\u0105 tekst w wiadomo\u015bciach phishingowych jako logo. Wi\u0119c jest to kolejna taktyka, kt\u00f3ra si\u0119 sprawdza.<\/p>\n\n\n\nAtakuj\u0105cy u\u017cywali r\u00f3wnie\u017c ustawienia \u201edisplay: none\u201d, elementu CSS, kt\u00f3ry m\u00f3wi przegl\u0105darce, aby renderowa\u0142a tekst jako niewidoczny. W jednej z kampanii atakuj\u0105cy wykorzysta\u0142 t\u0119 sztuczk\u0119, aby ukry\u0107 powtarzaj\u0105cy si\u0119 tekst \u201e40008\u201d mi\u0119dzy s\u0142owami frazy \u201ehaslodlauzytkownika[@] przyklad[.]com.\u201d Tekst \u201e40008\u201d mo\u017ce by\u0107 kolejn\u0105 taktyk\u0105 pozwalaj\u0105c\u0105 obej\u015b\u0107 dopasowywanie wzorc\u00f3w w narz\u0119dziach bezpiecze\u0144stwa Je\u015bli dla ka\u017cdego e-maila jest generowana losowa liczba, istnieje mniejsze prawdopodobie\u0144stwo, \u017ce narz\u0119dzia skojarz\u0105 je z t\u0105 sam\u0105 kampani\u0105 phishingow\u0105.<\/p>\n\n\n\n
Przed specjalistami od bezpiecze\u0144stwa stoi wyzwanie. Obrona u\u017cytkownik\u00f3w przed technik\u0105 \u201emi\u0119kkich \u0142\u0105cznik\u00f3w\u201d mo\u017ce by\u0107 trudna. Dlaczego? W interesie atakuj\u0105cych jest u\u017cycie kilku unikalnych znak\u00f3w Unicode. Z drugiej strony, im wi\u0119cej znak\u00f3w Unicode organizacja doda do swojego narz\u0119dzia security, tym b\u0119dzie wolniejsze. B\u0119dzie mia\u0142o te\u017c to negatywny wp\u0142yw na samo skalowanie.<\/p>\n\n\n\n
\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n<\/div>\n\n\n\n<\/a>\n\n\n2. Exploit Autodesk 3ds Max \u2013 zuchwa\u0142y atak na firm\u0119 architektoniczn\u0105 s\u0142yn\u0105c\u0105 z projekt\u00f3w luksusowych nieruchomo\u015bci<\/strong><\/h2>\n\n\nGrupa haker\u00f3w do wynaj\u0119cia w\u0142ama\u0142a si\u0119 na komputery pozostaj\u0105cej anonimow\u0105 firmy architektonicznej zaanga\u017cowanej w projekty luksusowych nieruchomo\u015bci o warto\u015bci przekraczaj\u0105cej miliardy dolar\u00f3w. Ofiara to uznana firma wsp\u00f3\u0142pracuj\u0105ca z deweloperami w USA, Wielkiej Brytanii, Australii i Omanie. W swojej codziennej pracy wykorzystywa\u0142a popularne oprogramowanie Autodesk 3ds Max.<\/p>\n\n\n\n
Na pocz\u0105tku tego miesi\u0105ca firma Autodesk poinformowa\u0142a swoich klient\u00f3w o istnieniu exploita dla Autodesk 3ds Max, a dok\u0142adnie narz\u0119dzia skryptowego MAXScript. Chodzi\u0142o o z\u0142o\u015bliw\u0105 wtyczk\u0119 nosz\u0105c\u0105 nazw\u0119 \u201ePhysXPluginMfx\u201d. Po za\u0142adowaniu do Autodesk 3ds Max wtyczka jest w stanie infekowa\u0107 tak\u017ce inne pliki MAX, rozprzestrzeniaj\u0105c si\u0119 w ten spos\u00f3b na pozosta\u0142ych u\u017cytkownik\u00f3w w firmowej sieci.<\/p>\n\n\n\n
![\"\"](\"https:\/\/xopero.com\/blog\/wp-content\/uploads\/2020\/08\/3dsExpltAttckFlw.png\")
\u0179r\u00f3d\u0142o: Bleeping Computer<\/a><\/figcaption><\/figure><\/div>\n\n\n\nSpos\u00f3b przeprowadzenia ataku wskazuje, \u017ce cyberprzest\u0119pcy dysponowali wcze\u015bniejsz\u0105 wiedz\u0119 na temat system\u00f3w bezpiecze\u0144stwa firmy i u\u017cywanych aplikacji. Hakerzy starannie zaplanowali atak, aby dog\u0142\u0119bnie zinfiltrowa\u0107 firm\u0119 i wydoby\u0107 wszystkie interesuj\u0105ce ich dane niezauwa\u017calnie.<\/p>\n\n\n\n
Z\u0142o\u015bliwe oprogramowanie u\u017cyte podczas tego ataku zebra\u0142o szczeg\u00f3\u0142owe informacje o zaatakowanym ho\u015bcie – nazw\u0119 komputera i u\u017cytkownika, wyci\u0105gn\u0119\u0142o has\u0142a i dane historyczne z przegl\u0105darki Google Chrome. Krad\u0142o ono r\u00f3wnie\u017c pliki z okre\u015blonymi rozszerzeniami.<\/p>\n\n\n\n
Aby pozosta\u0107 niewykrytym, hakerzy zastosowali interesuj\u0105ce rozwi\u0105zanie. Z\u0142o\u015bliwy plik binarny by\u0142 \u201eusypiany\u201d w momencie uruchomienia Mened\u017cera zada\u0144 lub Monitora wydajno\u015bci. Natychmiast spada\u0142o wi\u0119c u\u017cycie procesora, w efekcie czego program wy\u015bwietla\u0142 si\u0119 znacznie ni\u017cej na li\u015bcie proces\u00f3w wymagaj\u0105cych du\u017cej mocy. Przest\u0119pcy zdecydowali si\u0119 r\u00f3wnie\u017c kompresowa\u0107 tylko niekt\u00f3re z plik\u00f3w. Dane, kt\u00f3re w przypadku archiwizacji przyci\u0105ga\u0142yby niepotrzebn\u0105 uwag\u0119, zosta\u0142y pomini\u0119te.<\/p>\n\n\n\n
\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n<\/div>\n\n\n\n<\/a>\n\n\n3. Po dekadzie Trojan Qbot pokazuje nowe, niebezpieczne sztuczki<\/strong><\/h2>\n\n\nTrojan Qbot (znany r\u00f3wnie\u017c jako Qakbot lub Pinkslipbot) n\u0119ka u\u017cytkownik\u00f3w i firmy od ponad dziesi\u0119ciu lat. Jego autorzy wci\u0105\u017c wymy\u015blaj\u0105 jednak nowe sztuczki, kt\u00f3re czyni\u0105 go jednym z najbardziej powszechnych i skutecznych zagro\u017ce\u0144. Szacuje si\u0119, \u017ce liczba jego ofiar si\u0119ga ju\u017c 100 000. Szerzej o tym zagro\u017ceniu <\/a>pisali\u015bmy ju\u017c rok temu.<\/p>\n\n\n\nBadacze ds. cyberbezpiecze\u0144stwa z Check Point opublikowali badania dotycz\u0105ce nowego trendu. U\u017cytkownicy Microsoft Outlook s\u0105 podatni na modu\u0142 do zbierania i przechwytywania w\u0105tk\u00f3w e-mail na zainfekowanych urz\u0105dzeniach – tak wynika z ich analizy.<\/p>\n\n\n\n
Nowy wariant QBota jest dystrybuowany przez operator\u00f3w trojana Emotet. Specjali\u015bci szacuj\u0105, \u017ce jedna szczeg\u00f3lnie du\u017ca kampania przeprowadzona w lipcu dotkn\u0119\u0142a oko\u0142o 5% organizacji na ca\u0142ym \u015bwiecie<\/strong>.<\/p>\n\n\n\nZ\u0142o\u015bliwe oprogramowanie trafia na urz\u0105dzenie za po\u015brednictwem dokument\u00f3w phishingowych zawieraj\u0105cych URL do plik\u00f3w .ZIP, kt\u00f3re obs\u0142uguj\u0105 VBS i wywo\u0142uj\u0105 z\u0142o\u015bliwy \u0142adunek z jednego z sze\u015bciu zaszyfrowanych adres\u00f3w URL. <\/p>\n\n\n\n
Po zainfekowaniu komputera nowy \u201emodu\u0142 do zbierania wiadomo\u015bci e-mail\u201d wyodr\u0119bnia wszystkie w\u0105tki e-mail z Outlooka i przesy\u0142a je na serwer C&C atakuj\u0105cych.<\/p>\n\n\n\n
Nast\u0119pnie przest\u0119pcy wykorzystuj\u0105 przechwycone w\u0105tki do dalszej dystrybucji z\u0142o\u015bliwego oprogramowania. Dzi\u0119ki temu czytelnicy maili nie podejrzewaj\u0105 zagro\u017cenia i s\u0105 bardziej skorzy do klikni\u0119cia w zainfekowane za\u0142\u0105czniki. \u015aledzone tematy obejmuj\u0105 przypomnienia o p\u0142atno\u015bci podatku, wiadomo\u015bci rekrutacyjne oraz ostrze\u017cenia zwi\u0105zane z COVID-19.<\/p>\n\n\n\n
QBot jest w stanie \u015bledzi\u0107 aktywno\u015b\u0107 u\u017cytkownik\u00f3w w sieci, kra\u015b\u0107 dane uwierzytelniaj\u0105ce do kont bankowych, maili i inne cenne informacje. Jeden z modu\u0142\u00f3w pobiera Mimikatz w celu zbierania hase\u0142. Mo\u017ce r\u00f3wnie\u017c instalowa\u0107 z\u0142o\u015bliwe programy, w tym ransomware ProLock.<\/p>\n\n\n\n
\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n![\"Zabezpieczenie](\"https:\/\/xopero.com\/blog\/wp-content\/uploads\/2020\/06\/xbr-baner.png\")
<\/a><\/figure><\/div>\n\n\n\n<\/div>\n\n\n\n<\/a>\n\n\n4. SunCrypt Ransomware do\u0142\u0105cza do kartelu ransomware<\/strong><\/h2>\n\n\nW czerwcu pisali\u015bmy o tym, \u017ce operatorzy Maze utworzyli kartel ransomware<\/a> w celu wymiany informacji i technik oraz wzajemnej pomocy w wy\u0142udzaniu okupu od ofiar atak\u00f3w. Na pocz\u0105tku w jego sk\u0142ad wchodzili autorzy Maze, LockBit, a w wkr\u00f3tce r\u00f3wnie\u017c RagnarLocker. W minionym tygodniu do grupy do\u0142\u0105czyli operatorzy SunCrypt ransomware.<\/p>\n\n\n\nTo zagro\u017cenie istnieje od pa\u017adziernika 2019 r., ale nie by\u0142o zbyt aktywne. Prawdopodobnie wkr\u00f3tce ulegnie to zmianie, bo jak zdradzaj\u0105 autorzy SunCrypt po przyst\u0105pieniu do kartelu zyskali zdywersyfikowane kana\u0142y dzia\u0142ania.<\/p>\n\n\n\n
Jak dzia\u0142a i zarabia kartel?<\/strong> Jest to wci\u0105\u017c do\u015b\u0107 tajemnicze, ale udzia\u0142 w przychodach z udanej operacji musi by\u0107 obiecuj\u0105cy, skoro coraz wi\u0119cej przest\u0119pc\u00f3w chce mie\u0107 sw\u00f3j wk\u0142ad w dzia\u0142anie grupy. Operatorzy SunCrypt zdradzaj\u0105, \u017ce zostali zaproszeni do kartelu, poniewa\u017c autorzy Maze nie s\u0105 w stanie obs\u0142u\u017cy\u0107 wszystkich potencjalnych mo\u017cliwo\u015bci ataku. Zamiast tego anga\u017cuj\u0105 zewn\u0119trznych operator\u00f3w, daj\u0105 im udzia\u0142 w swojej sieci w zamian za udzia\u0142 w przychodach. <\/p>\n\n\n\nMaze od miesi\u0119cy udost\u0119pnia witryn\u0119 umo\u017cliwiaj\u0105c\u0105 wyciek danych i przeprowadza ataki ze znanych publicznych adres\u00f3w IP. Ich us\u0142ugi s\u0105 nadal dost\u0119pne, a organy \u015bcigania jeszcze ich nie zablokowa\u0142y. <\/p>\n\n\n\n
Ransomware SunCrypt w pigu\u0142ce. <\/strong>Zagro\u017cenie to jest dystrybuowane jako plik DLL, kt\u00f3ry po uruchomieniu szyfruje pliki. Nast\u0119pnie dodaje szesnastkowy skr\u00f3t na ko\u0144cu ka\u017cdej nazwy – nie wiadomo, co on reprezentuje. <\/p>\n\n\n\nW ka\u017cdym folderze tworzy not\u0119 okupu o nazwie YOUR_FILES_ARE_ENCRYPTED.HTML, kt\u00f3ra zawiera informacje o tym, co sta\u0142o si\u0119 z plikami ofiary oraz \u0142\u0105cze do strony p\u0142atno\u015bci Tor. Zawiera r\u00f3wnie\u017c link do strony SunCrypt z skompromitowanymi danymi i ostrze\u017cenie o mo\u017cliwo\u015bci ich publikacji w momencie odm\u00f3wienia zap\u0142aty.<\/p>\n\n\n\n
Odno\u015bnik do Tora zawarty w \u017c\u0105daniu okupu jest zakodowany na sta\u0142e w pliku wykonywalnym ransomware. Oznacza to, \u017ce ka\u017cda ofiara zaszyfrowana przez okre\u015blony plik b\u0119dzie mia\u0142a ten sam link do strony p\u0142atno\u015bci Tor.<\/p>\n\n\n\n
Witryna nie ma zautomatyzowanych funkcji i zawiera ekran czatu, na kt\u00f3rym ofiara mo\u017ce negocjowa\u0107 okup z przest\u0119pcami. <\/p>\n\n\n\n
SunCrypt jest obecnie analizowany pod k\u0105tem s\u0142abych punkt\u00f3w. Na ten moment nie wiadomo, czy mo\u017cna za darmo odszyfrowa\u0107 dane.<\/p>\n\n\n\n
Przypominamy, \u017ce najlepsz\u0105 ochron\u0105 przed ransomware i jego skutkami jest inwestycja w sprawdzone rozwi\u0105zania antywirusowe i program do backupu danych<\/a>. <\/p>\n\n\n\n
Atakuj\u0105cy u\u017cywali r\u00f3wnie\u017c ustawienia \u201edisplay: none\u201d, elementu CSS, kt\u00f3ry m\u00f3wi przegl\u0105darce, aby renderowa\u0142a tekst jako niewidoczny. W jednej z kampanii atakuj\u0105cy wykorzysta\u0142 t\u0119 sztuczk\u0119, aby ukry\u0107 powtarzaj\u0105cy si\u0119 tekst \u201e40008\u201d mi\u0119dzy s\u0142owami frazy \u201ehaslodlauzytkownika[@] przyklad[.]com.\u201d Tekst \u201e40008\u201d mo\u017ce by\u0107 kolejn\u0105 taktyk\u0105 pozwalaj\u0105c\u0105 obej\u015b\u0107 dopasowywanie wzorc\u00f3w w narz\u0119dziach bezpiecze\u0144stwa Je\u015bli dla ka\u017cdego e-maila jest generowana losowa liczba, istnieje mniejsze prawdopodobie\u0144stwo, \u017ce narz\u0119dzia skojarz\u0105 je z t\u0105 sam\u0105 kampani\u0105 phishingow\u0105.<\/p>\n\n\n\n
Przed specjalistami od bezpiecze\u0144stwa stoi wyzwanie. Obrona u\u017cytkownik\u00f3w przed technik\u0105 \u201emi\u0119kkich \u0142\u0105cznik\u00f3w\u201d mo\u017ce by\u0107 trudna. Dlaczego? W interesie atakuj\u0105cych jest u\u017cycie kilku unikalnych znak\u00f3w Unicode. Z drugiej strony, im wi\u0119cej znak\u00f3w Unicode organizacja doda do swojego narz\u0119dzia security, tym b\u0119dzie wolniejsze. B\u0119dzie mia\u0142o te\u017c to negatywny wp\u0142yw na samo skalowanie.<\/p>\n\n\n\n
\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Grupa haker\u00f3w do wynaj\u0119cia w\u0142ama\u0142a si\u0119 na komputery pozostaj\u0105cej anonimow\u0105 firmy architektonicznej zaanga\u017cowanej w projekty luksusowych nieruchomo\u015bci o warto\u015bci przekraczaj\u0105cej miliardy dolar\u00f3w. Ofiara to uznana firma wsp\u00f3\u0142pracuj\u0105ca z deweloperami w USA, Wielkiej Brytanii, Australii i Omanie. W swojej codziennej pracy wykorzystywa\u0142a popularne oprogramowanie Autodesk 3ds Max.<\/p>\n\n\n\n Na pocz\u0105tku tego miesi\u0105ca firma Autodesk poinformowa\u0142a swoich klient\u00f3w o istnieniu exploita dla Autodesk 3ds Max, a dok\u0142adnie narz\u0119dzia skryptowego MAXScript. Chodzi\u0142o o z\u0142o\u015bliw\u0105 wtyczk\u0119 nosz\u0105c\u0105 nazw\u0119 \u201ePhysXPluginMfx\u201d. Po za\u0142adowaniu do Autodesk 3ds Max wtyczka jest w stanie infekowa\u0107 tak\u017ce inne pliki MAX, rozprzestrzeniaj\u0105c si\u0119 w ten spos\u00f3b na pozosta\u0142ych u\u017cytkownik\u00f3w w firmowej sieci.<\/p>\n\n\n\n Spos\u00f3b przeprowadzenia ataku wskazuje, \u017ce cyberprzest\u0119pcy dysponowali wcze\u015bniejsz\u0105 wiedz\u0119 na temat system\u00f3w bezpiecze\u0144stwa firmy i u\u017cywanych aplikacji. Hakerzy starannie zaplanowali atak, aby dog\u0142\u0119bnie zinfiltrowa\u0107 firm\u0119 i wydoby\u0107 wszystkie interesuj\u0105ce ich dane niezauwa\u017calnie.<\/p>\n\n\n\n Z\u0142o\u015bliwe oprogramowanie u\u017cyte podczas tego ataku zebra\u0142o szczeg\u00f3\u0142owe informacje o zaatakowanym ho\u015bcie – nazw\u0119 komputera i u\u017cytkownika, wyci\u0105gn\u0119\u0142o has\u0142a i dane historyczne z przegl\u0105darki Google Chrome. Krad\u0142o ono r\u00f3wnie\u017c pliki z okre\u015blonymi rozszerzeniami.<\/p>\n\n\n\n Aby pozosta\u0107 niewykrytym, hakerzy zastosowali interesuj\u0105ce rozwi\u0105zanie. Z\u0142o\u015bliwy plik binarny by\u0142 \u201eusypiany\u201d w momencie uruchomienia Mened\u017cera zada\u0144 lub Monitora wydajno\u015bci. Natychmiast spada\u0142o wi\u0119c u\u017cycie procesora, w efekcie czego program wy\u015bwietla\u0142 si\u0119 znacznie ni\u017cej na li\u015bcie proces\u00f3w wymagaj\u0105cych du\u017cej mocy. Przest\u0119pcy zdecydowali si\u0119 r\u00f3wnie\u017c kompresowa\u0107 tylko niekt\u00f3re z plik\u00f3w. Dane, kt\u00f3re w przypadku archiwizacji przyci\u0105ga\u0142yby niepotrzebn\u0105 uwag\u0119, zosta\u0142y pomini\u0119te.<\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Trojan Qbot (znany r\u00f3wnie\u017c jako Qakbot lub Pinkslipbot) n\u0119ka u\u017cytkownik\u00f3w i firmy od ponad dziesi\u0119ciu lat. Jego autorzy wci\u0105\u017c wymy\u015blaj\u0105 jednak nowe sztuczki, kt\u00f3re czyni\u0105 go jednym z najbardziej powszechnych i skutecznych zagro\u017ce\u0144. Szacuje si\u0119, \u017ce liczba jego ofiar si\u0119ga ju\u017c 100 000. Szerzej o tym zagro\u017ceniu <\/a>pisali\u015bmy ju\u017c rok temu.<\/p>\n\n\n\n Badacze ds. cyberbezpiecze\u0144stwa z Check Point opublikowali badania dotycz\u0105ce nowego trendu. U\u017cytkownicy Microsoft Outlook s\u0105 podatni na modu\u0142 do zbierania i przechwytywania w\u0105tk\u00f3w e-mail na zainfekowanych urz\u0105dzeniach – tak wynika z ich analizy.<\/p>\n\n\n\n Nowy wariant QBota jest dystrybuowany przez operator\u00f3w trojana Emotet. Specjali\u015bci szacuj\u0105, \u017ce jedna szczeg\u00f3lnie du\u017ca kampania przeprowadzona w lipcu dotkn\u0119\u0142a oko\u0142o 5% organizacji na ca\u0142ym \u015bwiecie<\/strong>.<\/p>\n\n\n\n Z\u0142o\u015bliwe oprogramowanie trafia na urz\u0105dzenie za po\u015brednictwem dokument\u00f3w phishingowych zawieraj\u0105cych URL do plik\u00f3w .ZIP, kt\u00f3re obs\u0142uguj\u0105 VBS i wywo\u0142uj\u0105 z\u0142o\u015bliwy \u0142adunek z jednego z sze\u015bciu zaszyfrowanych adres\u00f3w URL. <\/p>\n\n\n\n Po zainfekowaniu komputera nowy \u201emodu\u0142 do zbierania wiadomo\u015bci e-mail\u201d wyodr\u0119bnia wszystkie w\u0105tki e-mail z Outlooka i przesy\u0142a je na serwer C&C atakuj\u0105cych.<\/p>\n\n\n\n Nast\u0119pnie przest\u0119pcy wykorzystuj\u0105 przechwycone w\u0105tki do dalszej dystrybucji z\u0142o\u015bliwego oprogramowania. Dzi\u0119ki temu czytelnicy maili nie podejrzewaj\u0105 zagro\u017cenia i s\u0105 bardziej skorzy do klikni\u0119cia w zainfekowane za\u0142\u0105czniki. \u015aledzone tematy obejmuj\u0105 przypomnienia o p\u0142atno\u015bci podatku, wiadomo\u015bci rekrutacyjne oraz ostrze\u017cenia zwi\u0105zane z COVID-19.<\/p>\n\n\n\n QBot jest w stanie \u015bledzi\u0107 aktywno\u015b\u0107 u\u017cytkownik\u00f3w w sieci, kra\u015b\u0107 dane uwierzytelniaj\u0105ce do kont bankowych, maili i inne cenne informacje. Jeden z modu\u0142\u00f3w pobiera Mimikatz w celu zbierania hase\u0142. Mo\u017ce r\u00f3wnie\u017c instalowa\u0107 z\u0142o\u015bliwe programy, w tym ransomware ProLock.<\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n W czerwcu pisali\u015bmy o tym, \u017ce operatorzy Maze utworzyli kartel ransomware<\/a> w celu wymiany informacji i technik oraz wzajemnej pomocy w wy\u0142udzaniu okupu od ofiar atak\u00f3w. Na pocz\u0105tku w jego sk\u0142ad wchodzili autorzy Maze, LockBit, a w wkr\u00f3tce r\u00f3wnie\u017c RagnarLocker. W minionym tygodniu do grupy do\u0142\u0105czyli operatorzy SunCrypt ransomware.<\/p>\n\n\n\n To zagro\u017cenie istnieje od pa\u017adziernika 2019 r., ale nie by\u0142o zbyt aktywne. Prawdopodobnie wkr\u00f3tce ulegnie to zmianie, bo jak zdradzaj\u0105 autorzy SunCrypt po przyst\u0105pieniu do kartelu zyskali zdywersyfikowane kana\u0142y dzia\u0142ania.<\/p>\n\n\n\n Jak dzia\u0142a i zarabia kartel?<\/strong> Jest to wci\u0105\u017c do\u015b\u0107 tajemnicze, ale udzia\u0142 w przychodach z udanej operacji musi by\u0107 obiecuj\u0105cy, skoro coraz wi\u0119cej przest\u0119pc\u00f3w chce mie\u0107 sw\u00f3j wk\u0142ad w dzia\u0142anie grupy. Operatorzy SunCrypt zdradzaj\u0105, \u017ce zostali zaproszeni do kartelu, poniewa\u017c autorzy Maze nie s\u0105 w stanie obs\u0142u\u017cy\u0107 wszystkich potencjalnych mo\u017cliwo\u015bci ataku. Zamiast tego anga\u017cuj\u0105 zewn\u0119trznych operator\u00f3w, daj\u0105 im udzia\u0142 w swojej sieci w zamian za udzia\u0142 w przychodach. <\/p>\n\n\n\n Maze od miesi\u0119cy udost\u0119pnia witryn\u0119 umo\u017cliwiaj\u0105c\u0105 wyciek danych i przeprowadza ataki ze znanych publicznych adres\u00f3w IP. Ich us\u0142ugi s\u0105 nadal dost\u0119pne, a organy \u015bcigania jeszcze ich nie zablokowa\u0142y. <\/p>\n\n\n\n Ransomware SunCrypt w pigu\u0142ce. <\/strong>Zagro\u017cenie to jest dystrybuowane jako plik DLL, kt\u00f3ry po uruchomieniu szyfruje pliki. Nast\u0119pnie dodaje szesnastkowy skr\u00f3t na ko\u0144cu ka\u017cdej nazwy – nie wiadomo, co on reprezentuje. <\/p>\n\n\n\n W ka\u017cdym folderze tworzy not\u0119 okupu o nazwie YOUR_FILES_ARE_ENCRYPTED.HTML, kt\u00f3ra zawiera informacje o tym, co sta\u0142o si\u0119 z plikami ofiary oraz \u0142\u0105cze do strony p\u0142atno\u015bci Tor. Zawiera r\u00f3wnie\u017c link do strony SunCrypt z skompromitowanymi danymi i ostrze\u017cenie o mo\u017cliwo\u015bci ich publikacji w momencie odm\u00f3wienia zap\u0142aty.<\/p>\n\n\n\n Odno\u015bnik do Tora zawarty w \u017c\u0105daniu okupu jest zakodowany na sta\u0142e w pliku wykonywalnym ransomware. Oznacza to, \u017ce ka\u017cda ofiara zaszyfrowana przez okre\u015blony plik b\u0119dzie mia\u0142a ten sam link do strony p\u0142atno\u015bci Tor.<\/p>\n\n\n\n Witryna nie ma zautomatyzowanych funkcji i zawiera ekran czatu, na kt\u00f3rym ofiara mo\u017ce negocjowa\u0107 okup z przest\u0119pcami. <\/p>\n\n\n\n SunCrypt jest obecnie analizowany pod k\u0105tem s\u0142abych punkt\u00f3w. Na ten moment nie wiadomo, czy mo\u017cna za darmo odszyfrowa\u0107 dane.<\/p>\n\n\n\n Przypominamy, \u017ce najlepsz\u0105 ochron\u0105 przed ransomware i jego skutkami jest inwestycja w sprawdzone rozwi\u0105zania antywirusowe i program do backupu danych<\/a>. <\/p>\n\n\n\n2. Exploit Autodesk 3ds Max \u2013 zuchwa\u0142y atak na firm\u0119 architektoniczn\u0105 s\u0142yn\u0105c\u0105 z projekt\u00f3w luksusowych nieruchomo\u015bci<\/strong><\/h2>\n\n\n
3. Po dekadzie Trojan Qbot pokazuje nowe, niebezpieczne sztuczki<\/strong><\/h2>\n\n\n
<\/a><\/figure><\/div>\n\n\n\n4. SunCrypt Ransomware do\u0142\u0105cza do kartelu ransomware<\/strong><\/h2>\n\n\n