Informe de amenazas el miércoles 16 de enero de 2019 perch security bitcoin pc

La campaña contiene archivos adjuntos ZIP, que contienen un archivo javascript que ejecuta un comando powershell, lo que resulta en una descarga de un ejecutable llamado “krablin.Exe de” slpsrgpsrhojifdij.Ru “. Una vez ejecutado, el malware se copiará en “% userprofile% \ [number] \ winsvcs.Exe” y descargará otras cinco muestras de malware en la máquina infectada y las ejecutará. Los usuarios siempre deben tener cuidado al ver el contenido del correo electrónico moneda bitcoin fisica que pretende ser legítimo de una empresa y solicita información personal para evitar posibles ataques. Los siguientes indicadores de compromiso fueron lanzados por una computadora que emitía pitidos.

La firma de seguridad Zscaler publicó un informe para una variante denominada “mjag dropper” que utiliza documentos de señuelo para entregar troyanos de acceso remoto (RAT). El cuentagotas Mjag se compila en el marco de Microsoft .NET y su binario original se confunde con un ensamblaje inteligente. Zscaler reveló la falla después de que detectaron el ciclo de infección que involucró el RAT del castigador. El malware está disponible públicamente y puede configurarse con una variedad de características: módulo de robo de contraseñas, administrador de tareas, registro de teclas, persistencia, vectores de propagación y controles de AV. Los siguientes indicadores de compromiso fueron publicados con estos hallazgos.

Múltiples comunidades de inteligencia de seguridad, como el ataque público, informan que el ryuk ransomware es probablemente la creación de cibercriminales rusos con motivación financiera, no atacantes patrocinados por el estado de Corea del Norte. La aclaración se produjo después de que varios medios de comunicación atribuyeran una infección ryuk ransomware dirigida a las agencias de periódicos estadounidenses a los atacantes de Corea del Norte. Anteriormente informamos sobre las actividades de ryuk y la calculadora de tasa de hash de bitcoin del periódico estadounidense.

El ransomware fue creado por un actor de amenazas, al que la multitud de personas llama grim spider, que supuestamente compró una versión de hermes ransomware en un foro clandestino y la modificó en ryuk ransomware. La confusión posiblemente proviene de actores patrocinados por el estado de Corea del Norte que, según se informa, infectaron el Banco Internacional del Lejano Oriente (FEIB) en Taiwán con Hermes Ransomware en octubre de 2017.

Los investigadores creen que los atacantes de Corea del Norte compraron el mismo kit de ransomware de hermes, similar a una araña sombría, y lo desplegaron en la red del banco como una distracción en un intento de cubrir sus huellas. Los investigadores creen que no hay conexión entre los atacantes patrocinados por el estado de Corea del Norte y la variedad ryuk ransomware. Los investigadores valoraron 1 bitcoin en la nota de que varias víctimas de ryuk ransomware se infectaron con trickbot antes de que se implementara en sus sistemas y especularon que los atacantes seleccionaron máquinas infectadas con trickbot para implementar ryuk.

Bloomberg compartió sus hallazgos con zdnet luego de que reportaran una demanda contra el grupo de seguros zurich por parte de mondelez en un intento por reclamar $ 100M en daños después de una reclamación de seguro que no se pagó en un ataque notpetya. NotPetya es un tipo de ransomware similar a petya. Los investigadores notaron que los actores habían estado ejecutando el exploit a través del uso del muy discutido y patchable exploits eterno y eterno de antaño para lanzar ataques. (sí, estos vectores de ataque todavía están siendo explotados en la actualidad).

Una vez ejecutado, el malware reiniciará el sistema de pago de bitcoin y sobrescribirá el registro de inicio maestro (MBR) con un cargador personalizado y una nota de rescate que exige $ 300 en bitcoin. Los investigadores señalan que Notpetya afectó los negocios en todo el mundo, incluidos TNT, bancos ucranianos, compañías de energía, aeropuertos y maersk gigantes de envío. Los usuarios y las organizaciones deben imponer una sólida conciencia de seguridad, reconocer los ataques de phishing, tener cuidado al hacer clic en los enlaces maliciosos y desplegar la autenticación de dos factores para mitigar los ataques cibernéticos. No se publicaron indicadores de compromiso con este informe.

Zurich optó por no desechar el dinero, citando que la notpetya era “acción hostil o bélica en tiempos de paz o guerra”, que anuló la afirmación. La industria de la seguridad seguirá de cerca este caso para establecer un precedente en torno a este tema. Con el movimiento de Ryuk a Rusia, ¿la póliza de seguro cibernético de Tribune cubrirá las consecuencias de una guerra fría cibernética rusa?

banner