Tuần trong Ransomware – ngày 8 tháng 11 năm 2019 – Hiện đang nhắm mục tiêu mật khẩu

Khóa điện tử

Đây là một tuần bận rộn về mặt ransomware giữa một biến thể mới của MegaCortex thực hiện một cái gì đó hơi khác biệt và các cuộc tấn công MSP chống lại Everis ở Tây Ban Nha.

Tuần này, một biến thể MegaCortex mới được phát hiện có nguy cơ đánh cắp dữ liệu của bạn và xuất bản nó nếu bạn không trả tiền chuộc. Ngoài ra, nó nói rằng thông tin đăng nhập của bạn đã thay đổi, đây không phải là một mối đe dọa nhàn rỗi vì nó thực sự thay đổi nạn nhân Windows mật khẩu.

Ngoài ra, chúng tôi đã có một cuộc tấn công lớn nhắm vào Tây Ban Nha với các nạn nhân bao gồm MSP Everis và SER, mạng lưới đài phát thanh lớn nhất của Tây Ban Nha. Người ta không biết liệu Everis đã bị nhiễm trước tiên và được sử dụng để lây nhiễm cho các khách hàng khác hoặc nếu họ là các cuộc tấn công khác nhau. Dù bằng cách nào, đó là một mớ hỗn độn lớn cho tất cả những người liên quan.

Ngoài ra, chúng tôi đã có các biến thể mới được phát hành cũng như các phương thức phân phối mới được phát hiện.

Những người đóng góp và những người cung cấp thông tin và câu chuyện về ransomware mới trong tuần này bao gồm: @jorntvdw, @FourOctets, @B ngủin Máy tính, @struppigel, @fwosar, @PolarToffee, @malwrhunterteam, @DanielGallagher, @Seifreed, @ demonslay335, @LawrenceAdrams, @malwareforme, @ArnauEstebanell, @symantec, @VK_Intel, @Amigo_A_, @GrujaRS, @ EC3Europol, @Tesorion_NL, @JakubKroustek, @ fbgwls245, @ValthekOn, @coveware, @emsisoft, @raby_mr@ thyrex2002.

Ngày 3 tháng 11 năm 2019

Biến thể Jamper Ransomware mới

Amigo-A đã tìm thấy một phần mới của Jamper Ransomware nối thêm .SONIC mở rộng và giảm một lưu ý tiền chuộc có tên — README —. ID TXT: XXXXXXXXXX {10 char.}.

Gây nhiễu

Biến thể Ransomware VIRUS mới

Jakub Kroustek tìm thấy một biến thể mới của Dharma Ransomware nối thêm .VIRUS mở rộng cho các tập tin được mã hóa.

Ransomware dựa trên Java mới

dnwls0719 đã tìm thấy một phần mềm ransomware mới được mã hóa trong JAVA nối thêm .được mã hóa mở rộng và giảm một lưu ý tiền chuộc có tên HOWTODECRYPT.txt.

Ngày 4 tháng 11 năm 2019

Tấn công Ransomware tấn công Everis và Mạng vô tuyến lớn nhất Tây Ban Nha

Everis, một công ty NTT DATA và là một trong những nhà cung cấp dịch vụ được quản lý lớn nhất Tây Ban Nha (MSP), đã mã hóa hệ thống máy tính của mình ngày hôm nay trong một cuộc tấn công ransomware, giống như nó đã xảy ra với đài phát thanh lớn nhất Tây Ban Nha Cadena SER (Sociedad Española de Radiodifusión).

Nemty Ransomware bây giờ lây lan qua Trik Botnet

Các nhà điều hành của Nemty ransomware đã tìm thấy một nhà phân phối mới cho phần mềm độc hại mã hóa tệp của họ, hiện đang lây lan qua Trik, một botnet đẩy tất cả các mối đe dọa.

Norsk Hydro Breach: Cập nhật về Bảo hiểm Bảo hiểm

Cho đến nay, công ty nhôm Norweigan Norsk Hydro mới chỉ nhận được $3.6 Một triệu từ công ty bảo hiểm mạng của họ để trang trải các chi phí liên quan đến vụ tấn công ransomware LockerGoga mà họ phải chịu hồi tháng 3 dẫn đến khoản lỗ từ 50 triệu đến 71 triệu USD, công ty tiết lộ trong báo cáo quý ba.

Biến thể Ransomware Toec STOP mới

Amigo-A đã tìm thấy một biến thể STOP DJvu Ransomware mới nối thêm .toec mở rộng cho các tập tin được mã hóa.

DỪNG ghi chú Ransomware

GrujaRS đã tìm thấy Cyborg Ransomware mới nối thêm .petra mở rộng và giảm một lưu ý tiền chuộc có tên Cyborg_DECRYPT.txt.

Biến thể HakBit mới

GrujaRS đã tìm thấy một biến thể Hakbit Ransomware mới sử dụng được mã hóa sự mở rộng.

Biến thể Meka STOP Djvu Ransomware mới

Michael Gillespie đã tìm thấy một biến thể mới của STOP Djvu Ransomware nối thêm .meka.

Ngày 5 tháng 11 năm 2019

Thay đổi Ransomware Megacortex mới Windows Mật khẩu, mối đe dọa để xuất bản dữ liệu

Một phiên bản mới của MegaCortex Ransomware đã được phát hiện rằng không chỉ mã hóa các tệp của bạn, mà giờ đây còn thay đổi mật khẩu người dùng đã đăng nhập và đe dọa sẽ xuất bản các tệp của nạn nhân nếu họ không trả tiền chuộc.

Tiền chuộc MegaCortex Note

Bệnh viện Brooklyn mất dữ liệu bệnh nhân trong cuộc tấn công Ransomware

Một cuộc tấn công ransomware đánh vào một số hệ thống máy tính tại Trung tâm Bệnh viện Brooklyn ở New York đã làm mất vĩnh viễn dữ liệu của một số bệnh nhân.

Tesorian được thêm vào Dự án Không đòi tiền chuộc

Tesorion đã được thêm một đối tác đóng góp cho Dự án Không đòi tiền chuộc cho bộ giải mã Nemty Ransomware của họ.

Chính phủ Nunavut trở lại hồ sơ giấy và các cuộc gọi điện thoại sau vụ tấn công ransomware

Cuối tuần vừa qua, cuộc tấn công ransomware vào Chính phủ Nunavut đã gây ra hậu quả sâu rộng, đã đóng băng hệ thống điều hành và liên lạc của chính phủ và hồi sinh việc sử dụng các cuộc gọi điện thoại, ghi chép giấy và fax để liên lạc giữa các bộ phận lãnh thổ.

Biến thể Ransomware Paradise mới

GrujaRS đã tìm thấy một biến thể Paradise Ransomware mới nối thêm .cho mở rộng và giảm một lưu ý tiền chuộc có tên — ==% $$$ OPEN_ME_UP $$$ == — .txt.

Godans Ransomware mới

GrujaRS đã tìm thấy một biến thể FreeMe Ransomware bổ sung cho .GodLock mở rộng và giảm một lưu ý tiền chuộc có tên .GodLock.README.TXT.

Thần khóa

Ransomware Buran; sự phát triển của VegaLocker

Nhóm nghiên cứu mối đe dọa nâng cao của McAfee đã quan sát cách một gia đình ransomware mới có tên 'Buran' xuất hiện vào tháng 5 năm 2019. Buran làm việc như một mô hình RaaS giống như các gia đình ransomware khác như REVil, GandCrab (hiện không còn tồn tại), Phobos, v.v. 25% thu nhập kiếm được từ các chi nhánh, thay vì 30% – 40%, những con số từ các gia đình phần mềm độc hại khét tiếng như GandCrab, và họ sẵn sàng đàm phán tỷ lệ đó với bất kỳ ai có thể đảm bảo mức độ lây nhiễm ấn tượng với Buran. Họ tuyên bố trong quảng cáo của mình rằng tất cả các chi nhánh sẽ có sự sắp xếp cá nhân với họ.

Thanh toán Ransomware tăng khi khu vực công được nhắm mục tiêu, các biến thể mới gia nhập thị trường

Tổng chi phí của một cuộc tấn công ransomware là một chức năng của chi phí trực tiếp và gián tiếp. Chi phí trực tiếp bao gồm việc khắc phục ngay sự kiện, bao gồm tiền chuộc nếu phải trả. Các chi phí gián tiếp là chi phí gián đoạn kinh doanh liên quan đến cuộc tấn công. Chi phí gián đoạn kinh doanh thường 5-10x cao hơn chi phí trực tiếp. Doanh thu bị mất và thiệt hại thương hiệu lâu dài là những yếu tố ảnh hưởng nặng nề đến nạn nhân của ransomware, những người không thể phục hồi nhanh chóng.

Ngày 6 tháng 11 năm 2019

Biến thể Ransomware RSA mới

Jakub Kroustek đã tìm thấy một biến thể mới của Dharma Ransomware nối thêm .rsa mở rộng (biến thể chữ thường) cho các tập tin được mã hóa.

Biến thể MOSK STOP Djvu Ransomware mới

Michael Gillespie đã tìm thấy một biến thể STOP Ransomware mới nối thêm .mosk mở rộng cho các tập tin được mã hóa.

Bên trong 'hội nghị thượng đỉnh ransomware' yên tĩnh của FBI

Để giúp ngăn chặn làn sóng tấn công khóa tập tin, FBI lặng lẽ triệu tập các chuyên gia về ransomware hàng đầu của đất nước trong một cuộc họp kín, chưa từng có vào tháng 9. Các cuộc họp ngắn, xảy ra trong hai ngày, là một sự thừa nhận của các quan chức thực thi pháp luật rằng khả năng điều tra và truy tố tốt hơn các trường hợp ransomware bản lề của họ trong khu vực tư nhân chia sẻ nhiều dữ liệu hơn với họ.

Ransomware theo mùa nhấn mạnh sự cần thiết phải báo cáo và chia sẻ thông tin tốt hơn

Tuy nhiên, có vẻ như chúng ta đã nhầm lẫn về lý do giảm. Dữ liệu được thu thập bởi dự án Ransomware EPSRC và được chia sẻ với chúng tôi bởi Giáo sư David Wall của Đại học Leeds cho thấy các đột biến giữa năm trong những năm trước cũng vậy.

Ngày 7 tháng 11 năm 2019

Biến thể LOKF STOP Djvu Ransomware mới

Michael Gillespie đã tìm thấy một biến thể STOP Ransomware mới nối thêm .lokf mở rộng cho các tập tin được mã hóa.

Biến thể Octopus Phobos Ransomware mới

Amigo-A đã tìm thấy một biến thể mới của Phobos Ransomware có phần phụ (hiểu không?) .bạch tuộc mở rộng cho các tập tin được mã hóa và bỏ một ghi chú tiền chuộc có tên thông tin.

Bạch tuộc

Biến thể Dậu Maoloa mới

Raby đã tìm thấy một biến thể mới của Maoloa Ransomware nối thêm .Rooster865qq mở rộng và giảm một lưu ý tiền chuộc có tên CÁCH TRỞ LẠI PHIM.

Biến thể Ransomware chính mới

GujaRS đã tìm thấy một biến thể Major Ransomware mới nối thêm .KHÔNG KHÍ mở rộng và giảm một lưu ý tiền chuộc có tên TRY_TO_READ.html.

Chính

Ngày 8 tháng 11 năm 2019

QuikSilver và Billabong bị ảnh hưởng bởi cuộc tấn công Ransomware

Người khổng lồ thể thao hành động Boardriders đã bị tấn công bởi một cuộc tấn công ransomware đã ảnh hưởng đến một số công ty con của mình, bao gồm QuikSilver và Billabong, và buộc công ty phải đóng cửa các hệ thống máy tính trên toàn thế giới.

Biến thể WannaCash mới

Alex Svirid đã tìm thấy một biến thể mới của ransomware WannaCash thay đổi tên tệp thành Фй.

Đó là nó cho tuần này! Hy vọng mọi người có một ngày cuối tuần tốt đẹp!