Ransomware

Truvalılar

  • Cring fidye yazılımı operatörleri, 11 yıllık Adobe ColdFusion güvenlik açığından yararlanıyor

    An unknown cybercriminal group in a matter of minutes remotely hacked into a server with an outdated version of Adobe ColdFusion 9 and seized control over it, ve 79 hours later deployed the ransomware Cring on the server.

    A server owned by an unnamed service provider was used to collect timesheets and accounting data for payroll, as well as to host a number of virtual machines.

    Binaen to the experts of the information security company Sophos, the attacks were carried out from an Internet address belonging to the Ukrainian Internet provider Green Floid.

    In an attack recently investigated by Sophos, an unknown threat actor exploited an ancient-in-internet-years vulnerability in an 11-year-old installation of Adobe ColdFusion 9 to take control of the ColdFusion server remotely, then to execute ransomware known as Cring on the server, and against other machines on the target’s network.Sophos specialists write.
    Andrew Brandt
    Andrew Brandt

    Sophos senior researcher Andrew Brandt says devices with outdated, vulnerable software are a tidbit for hackers.

    ancak, the big surprise is the fact that the server with 11-year-old software attacked by ransomware was actively and daily used. Kural olarak, the most vulnerable are unused devices or forgottenghost machines”.

    After gaining initial access to the server, the attackers used various sophisticated methods of hiding malicious files, injecting code into memory, and concealing an attack by overwriting files with corrupted data. Ek olarak, hackers have deactivated security solutions by taking advantage of the fact that anti-tampering features were disabled.

    In particular, attackers exploited directory traversal vulnerabilities (CVE-2010-2861) in the Adobe ColdFusion 9.0.1 and earlier administration console. The vulnerabilities allowed remote reading of arbitrary files, including files containing administrator password hashes (password.properties).

    In the next stage of the attack, the hackers exploited an even earlier vulnerability in ColdFusion (CVE-2009-3960) to upload a malicious Cascading Stylesheet (CSS) file to the attacked server, which in turn downloaded the Cobalt Strike Beacon executable file.

    This file served as a conduit for downloading additional payloads, creating accounts with administrator privileges, and even disabling endpoint protection and anti-virus engines like Windows Defender before starting the encryption process.

    Şu gerçeği konuştuğumuzu hatırlatmama izin verin. Strange malware prevents victims from visiting pirate sites.

  • Capoae kötü amaçlı yazılımı, WordPress sitelerine bir arka kapı eklentisi yükler

    Akamai uzmanları yazmak Capoae kötü amaçlı yazılımının WordPress sitelerine sızdığını, üzerlerinde arka kapı bulunan bir eklenti yükler, ve ardından sistemi kripto para madenciliği yapmak için kullanır.

    Uzman Larry Nakit Dolar uyarır bu tür kötü amaçlı yazılımların ana taktiğinin savunmasız sistemler aracılığıyla yayılması, güvenilir olmayan yönetici kimlik bilgilerini kırmanın yanı sıra. Keshdollar adlı kötü amaçlı yazılımın incelenen örneği kapoa.

    ASCII

    indirme-monitör

    Bu kötü amaçlı yazılım, arka kapılı indirme izleme eklentisi aracılığıyla WordPress çalıştıran ana bilgisayarlara teslim edilir, hangi siber suçluların başarılı bir şekilde kaba zorlama kimlik bilgilerinin ardından sitelere yüklediği.

    Saldırı aynı zamanda bir Golang için ikili, bu sayede gizlenmiş yük bir GET isteği yoluyla alınır, kötü amaçlı eklentinin saldırganın etki alanına yaptığı.

    Kötü amaçlı yazılım ayrıca diğer yüklerin şifresini çözebilir ve yürütebilir: temelde, Golang ikili programı, çeşitli RCE güvenlik açıklarından yararlanır. kehanet WebLogic Sunucusu (CVE-2020-14882), YokCms (CVE-2018-20062) ve Jenkins (CVE-2019-1003029 ve CVE-2019-1003030) kaba kuvvet uygulamak ve sadece sisteme girmekle kalmayıp nihayetinde XMRig madenci.

    Saldırganlar, fark edilmeden hareket etmeleri gerektiğini unutmazlar. Bunu yapmak için, gerçek sistem dosyalarının bulunabileceği disk ve dizinlerdeki en şüpheli görünen yolları kullanırlar., ve ayrıca rastgele altı basamaklı bir ada sahip bir dosya oluşturun, bu daha sonra başka bir yere kopyalanır (yürütüldükten sonra kötü amaçlı yazılımı silmeden önce).

    Capoae kampanyasında çoklu güvenlik açıkları ve taktiklerin kullanılması, operatörlerin ne kadar ciddi olduğunun altını çiziyor. [bu kötü amaçlı yazılımın] mümkün olduğu kadar çok sistemde yer edinmeye niyetli. İyi haber şu ki, çoğu kuruluş için önerdiğimiz güvenlik yöntemleri hala burada çalışıyor. Orada dağıtılan sunucular veya uygulamalar için zayıf veya varsayılan kimlik bilgilerini kullanmayın. Uygulamalarınızı en son güvenlik düzeltmeleriyle güncel tuttuğunuzdan emin olun ve bunları zaman zaman kontrol edin.uzman özetliyor.

    şunu da yazdığımı hatırlatayım Araştırmacılar yeni DarkRadiation fidye yazılımı konusunda uyardı.

  • Keder fidye yazılımı kurbanları yok etmekle tehdit ediyor’ müzakerecilere başvururlarsa veriler

    Fidye yazılımı Grief'in arkasındaki siber suçlular, kurbanların fidye yazılımıyla pazarlık konusunda uzmanlaşmış bir aracı firma tutması durumunda,, onların verileri yok edilecekti.

    Son zamanlarda, geliştiricilerin olduğuna dair kanıtlar vardı. Ragnar Dolabı tehdit etmek ile “sızıntı” FBI ile iletişime geçerlerse kurbanların verileri ağa, polis veya özel dedektifler. Tehdit, veri kurtarma uzmanlarına yönelen kurbanları da kapsıyor.. Geçen hafta bu uyarının ardından, Ragnar Locker operatörleri, kurbanlarından birinin tüm ayrıntılarını zaten yayınladılar., etkilenen şirket bir arabulucu tuttuğu için.

    Gerçek şu ki, gaspçılar, davaya profesyonel müzakereciler ve kolluk kuvvetlerinin dahil olmasından gerçekten hoşlanmıyorlar.. Hepsinden sonra, tüm bunlar karda düşüşe neden olabilir, ayrıca gecikmeler ve mağdurun olaya müdahale ettiği süredeki artış.

    şimdi Yas (aka Öde veya Keder) kötü amaçlı yazılım operatörleri benzer tehditlere başvurdu. Bilgisayar korsanları web sitelerinde bir uyarı yayınladı, aracılarla iletişim kurması durumunda mağdurun tüm verilerinin silineceğini belirten.

    Hackerlar bir uyarı yayınladı

    oyun oynamak istiyoruz. Profesyonel bir Veri Kurtarma Şirketi™ müzakerecisi görürsek, basitçe yok edeceğiz [sizin] veri. Veri Kurtarma™ şirketleri, yukarıda bahsettiğimiz gibi, yine de ödeme al. Veri Kurtarma Şirketleri™ stratejisi, talep edilen tutarı ödememek ve davayı çözmemektir., ama yavaşlamak [tüm süreç]. Yani, bu durumda kaybedecek bir şeyimiz yok. İlgili tüm taraflar için sadece bir zaman tasarrufu. Fidye miktarı belirlenmezse ve veriler sıfır kurtarma şansıyla yok edilirse Veri Kurtarma Şirketi™ ne kazanacak?? Milyonlarca dolar düşünüyoruz. Müşteriler onlara aynen böyle para getirecek.hackerlar yazıyor.
    Bipleyen Bilgisayar bu ifadelerle not, Keder sadece kurbanlarına baskı yapmak istemez, ama aynı zamanda ABD yaptırımlarından kaçmak için. Gerçek şu ki, Grief uzun zamandır Rusça konuşan hacker grubuyla ilişkilendirildi. kötü şirket, ABD hükümetinin yaptırım uyguladığı. Yani, kurbanların fidye için pazarlık yapan uzmanları işe almasını yasaklayarak, bilgisayar korsanları kurbanların yaptırımlarla ilgili riskleri öğrenmeyeceklerini umuyor, ve yine de gerekli tutarı ödeyin.

    bildirdiğimizi hatırlatmama izin verin. Çift ödeyen fidye yazılımının adı Grief olarak değiştirildi.

  • S1-n.com reklam yazılımından nasıl kurtulurum?

    S1-n.com Alan adınız, hedefine tarayıcınızı kaçırmak için gerçeğe kesinlikle yıkıcı. Çok kaçırma normal olarak Google Chrome ve Mozilla Firefox web tarayıcılarında görünen müdahaleci push bildirimleri aracılığıyla yapılır. rutin olarak yukarıda belirtilen internet tarayıcıları aracılığıyla bu tür kötü pop-up fışkırması günümüzde adware bulaşmış birçok PC vardır. Kullanıcılar, bu sinyallerin yükü ile uğraşan devam ve hepsini tamamen ortadan kaldırmak için nasıl anlamıyorum.
    Devamını Oku »

  • News-cimase.cc reklam yazılımı nasıl ortadan kaldırılır?

    Haber-cimase.cc alan adı nedeniyle amaç tarayıcınızı kaçırmak için gerçeğe kesinlikle zararlıdır. Çok kaçırma genellikle Google Chrome ve Mozilla Firefox web tarayıcılarında görünen müdahaleci push bildirimleri aracılığıyla yapılır. Birçok bilgisayar rutin yukarıda belirtilen tarayıcılar aracılığıyla bu tür kötü pop-up fışkırması o adware bulaşmış bu gün vardır. Kullanıcılar, bu uyarıların yükünü bakacak tutun ve tüm bunları tamamen silmek nasıl anlamıyorum.
    Devamını Oku »

Başa dön tuşu