כופר

טרויאניים

  • מפעילי תוכנת כופר מסוג Cring מנצלים את הפגיעות של Adobe ColdFusion ל -11 שנים

    An unknown cybercriminal group in a matter of minutes remotely hacked into a server with an outdated version of Adobe ColdFusion 9 and seized control over it, ו 79 hours later deployed the ransomware Cring on the server.

    A server owned by an unnamed service provider was used to collect timesheets and accounting data for payroll, as well as to host a number of virtual machines.

    לפי to the experts of the information security company Sophos, the attacks were carried out from an Internet address belonging to the Ukrainian Internet provider Green Floid.

    In an attack recently investigated by Sophos, an unknown threat actor exploited an ancient-in-internet-years vulnerability in an 11-year-old installation of Adobe ColdFusion 9 to take control of the ColdFusion server remotely, then to execute ransomware known as Cring on the server, and against other machines on the target’s network.Sophos specialists write.
    Andrew Brandt
    Andrew Brandt

    Sophos senior researcher Andrew Brandt says devices with outdated, vulnerable software are a tidbit for hackers.

    למרות זאת, the big surprise is the fact that the server with 11-year-old software attacked by ransomware was actively and daily used. כחוק, the most vulnerable are unused devices or forgottenghost machines”.

    After gaining initial access to the server, the attackers used various sophisticated methods of hiding malicious files, injecting code into memory, and concealing an attack by overwriting files with corrupted data. בנוסף, hackers have deactivated security solutions by taking advantage of the fact that anti-tampering features were disabled.

    In particular, attackers exploited directory traversal vulnerabilities (CVE-2010-2861) in the Adobe ColdFusion 9.0.1 and earlier administration console. The vulnerabilities allowed remote reading of arbitrary files, including files containing administrator password hashes (password.properties).

    In the next stage of the attack, the hackers exploited an even earlier vulnerability in ColdFusion (CVE-2009-3960) to upload a malicious Cascading Stylesheet (CSS) file to the attacked server, which in turn downloaded the Cobalt Strike Beacon executable file.

    This file served as a conduit for downloading additional payloads, creating accounts with administrator privileges, and even disabling endpoint protection and anti-virus engines like Windows Defender before starting the encryption process.

    הרשה לי להזכיר לך שדיברנו על כך Strange malware prevents victims from visiting pirate sites.

  • תוכנת התוכנה הזדונית של Capoae מתקינה תוסף דלת אחורית באתרי וורדפרס

    מומחי אקאמאי לִכתוֹב שתוכנות זדוניות של Capoae חודרות לאתרי וורדפרס, מתקין תוסף שעליו דלת אחורית, ולאחר מכן משתמש במערכת לכריית קריפטו.

    מוּמחֶה לארי קשקולר מזהיר שהטקטיקה העיקרית של תוכנות זדוניות כאלה היא התפשטות דרך מערכות פגיעות, כמו גם פיצוח אישורי מנהל לא אמינים. המדגם הנחקר של תוכנת הזדוני Keshdollar בשם קפוא.

    ASCII

    צג הורדות

    תוכנה זדונית זו מועברת למארחים המריצים וורדפרס באמצעות התוסף צג הורדות עם דלת אחורית, אשר פושעי רשת מתקינים באתרים לאחר אישור אכזרי של אכזריות.

    ההתקפה כוללת גם פריסת א בינארי לגולנג, לפיה המטען המטושטש מאוחזר באמצעות בקשת GET, שהתוסף הזדוני עושה לתחום התוקף.

    התוכנה הזדונית יכולה גם לפענח ולבצע מטענים אחרים: בעיקרון, הבינארי של גולאנג מנצל נקודות תורפה שונות של RCE נבואה שרת WebLogic (CVE-2020-14882), ללא הודעות (CVE-2018-20062) וג'נקינס (CVE-2019-1003029 ו CVE-2019-1003030) על מנת לחזק את הכוח ולא רק לחדור אל המערכת ולבסוף להשיק את XMRig כּוֹרֶה.

    התוקפים לא שוכחים שהם צריכים לפעול מבלי לשים לב. כדי לעשות זאת, הם משתמשים בנתיבים החשודים ביותר למראה בדיסק ובספריות שבהם ניתן למצוא קבצי מערכת אמיתיים, וגם ליצור קובץ עם שם בן שש ספרות אקראי, אשר מועתק לאחר מכן למיקום אחר (לפני מחיקת התוכנה הזדונית לאחר ביצוע).

    השימוש במספר נקודות תורפה וטקטיקות בקמפיין Capoae מדגיש עד כמה רציניות המפעילים [של תוכנה זדונית זו] מתכוונים להשיג דריסת רגל בכמה שיותר מערכות. החדשות הטובות הן שאותן שיטות אבטחה שאנו ממליצים עליהן עבור רוב הארגונים עדיין פועלות כאן. אל תשתמש באישורים חלשים או ברירת מחדל עבור שרתים או יישומים הפרוסים שם. הקפד לעדכן את היישומים שלך עם תיקוני האבטחה האחרונים ולבדוק אותם מדי פעםמסכם המומחה.

    תן לי להזכיר לך שגם אני כתבתי את זה חוקרים הזהירו מפני תוכנת כופר חדשה של DarkRadiation.

  • תוכנת כופר של צער מאיימת להשמיד קורבנות’ נתונים אם הם פונים למשא ומתן

    The cybercriminals behind the ransomware Grief said that if the victims hired an intermediary firm specializing in negotiating with the ransomware, their data would be destroyed.

    More recently, there was evidence that the developers of Ragnar Locker threaten ל “leakthe data of the victims to the network if they contact the FBI, police or private investigators. The threat also extends to those victims who turn to data recovery specialists. Following this warning last week, Ragnar Locker operators have already released all the details of one of their victims, as the affected company has hired a negotiator.

    The fact is that extortionists really do not like it when professional negotiators and law enforcement agencies are involved in the case. After all, all this can lead to a decrease in profits, as well as delays and an increase in the time during which the victim responds to the incident.

    עכשיו צַעַר (aka Pay or Grief) malware operators have resorted to similar threats. The hackers posted a warning on their website, which states that all data of the victim will be deleted if she contacts intermediaries.

    The hackers posted a warning

    We want to play a game. If we see a professional Data Recovery Company™ negotiator, we will simply destroy [your] data. Data Recovery™ companies, as we mentioned above, get paid anyway. The Data Recovery Companies™ strategy is not to pay the requested amount and not to solve the case, but to slow down [the whole process]. לכן, we have nothing to lose in this case. Just a time saver for all parties involved. What will the Data Recovery Company™ earn if the ransom amount is not set and the data is simply destroyed with zero chances of recovery? We think millions of dollars. Clients will bring them money just like that.the hackers write.
    Bleeping Computer notes that with these statements, Grief not only wants to put pressure on its victims, but also to evade US sanctions. The fact is that Grief has long been associated with the Russian-speaking hacker group Evil Corp, against which the US government has imposed sanctions. זה, by prohibiting victims from hiring specialists who negotiate the ransom, hackers hope that the victims will not learn about the risks associated with the sanctions, and still pay the required amount.

    Let me remind you that we reported that DoppelPaymer ransomware is renamed to Grief.

  • כיצד להיפטר מתוכנת הפרסום S1-n.com?

    S1-n.com שם הדומיין הוא בהחלט הרסני עקב המציאות כי המטרה שלו היא לחטוף את הדפדפן שלך. החטיפה מאוד נעשתה באמצעות הודעות דחיפת פולשניות המופיעות בדרך כלל ב- Google Chrome ו- Mozilla Firefox דפדפנים. ישנם PC רבים בימינו נגוע adware כי באופן שגרתי בוקעים חלונות קופצים מגעיל כזה דרך דפדפני האינטרנט הנ"ל. למשתמשים לשמור להתמודדות עם העומס של אותות אלה ולא מבינים איך לחסל את כולם לגמרי.
    קרא עוד »

  • כיצד לחסל את תוכנת הפרסום של News-cimase.cc?

    News-cimase.cc שם הדומיין הוא בהחלט מזיק בשל המציאות כי המטרה שלו היא לחטוף את הדפדפן שלך. החטיפה מאוד נעשתה באמצעות הודעות דחיפת פולשניות המופיעות בדרך כלל ב- Google Chrome ו- Mozilla Firefox דפדפנים. יש הרבה מחשבים אלה ימים מזוהמים עם פרסום שבאופן קבוע בוקעים חלונות קופצים מגעילים כאלה באמצעות הדפדפנים הנ"ל. משתמש לשמור מול העומס של ההתראות האלה לא מבינים כיצד למחוק את כולם לחלוטין.
    קרא עוד »

כפתור חזרה למעלה