streda, 28. júna 2017

Upozorňujeme: Nové masové vírusy

Dnes ráno bola zaznamenaná vlnu ďalších rozsiahlych ransomvérových útokov, ktoré zasiahli organizácie najmä na Ukrajine, v Rusku a západnej Európe. Ransomvér je vyšetrovaný pod názvom ExPetr (nejde o variant ransomvéru Petya ako naznačovali prvé správy).

Vzhľadom na stále prebiehajúce vyšetrovanie sa nedá ešte hovoriť o konkrétnom rozsahu, systémy Kaspersky Lab však predbežne zachytili okolo 2-tisic útokov. Útočníci požadujú vo väčšine  prípadov výkupné vo výške 300 dolárov v bitcoinoch za sprístupnenie dešifrovacieho kľúča na odblokovanie zašifrovaných súborov. Na rozdiel od prípadu Wannacry je táto technika účinná, pretože útočníci požadovali od obeti zaslanie čísla peňaženiek prostredníctvom emailu na wowsmith123456@posteo.net
, čím potvrdia transakciu. Zdá sa ale, že memontálne je už tento emailový účet zrušený, čo znemožňuje súčasným obetiam dostať sa k dešifrovacím kľúčom. Včera v neskorých večerných v hodinách obsahovala bitcoinová peňaženka 24 transakcií v hodnote 2.54 BTC, čo je približne 6-tisíc amerických dolárov.

Ransomvér využíva na svoje rozšírenie vlastne nástroje a la Mimikatz. Tie dokážu vytiahnuť potrebné  prístupové dáta z procesu http://lsass.exe. Hneď po tom sú tieto dáta presunuté ďalej cez PsExec nástroje alebo WMIC na distribúciu vo vnútri siete (cez PsExec nástroje alebo WMIC).