Kecerdasan Data Generatif

Keamanan Siber

Locky Ransomware Trojan Spotted Agustus 2018 ini

Diterbitkan ulang oleh Plato
Diterbitkan ulang oleh Plato

Tanggal:

views: 609

Ransomware Kelinci BaruWaktu Membaca: 4 menit

Locky Ransomware

Ransomware Baru, Ancaman Botnet: Serangan bobrok IKARUS adalah Kelahiran Kembali 17 Agustus Locky

Ransomware baru

Pembaruan Khusus dari Comodo Threat Intelligence Lab

email trojan

Kampanye ransomware Agustus 2018 yang baru dimulai pada 9 Agustus dan menyerang pengguna yang tidak curiga di seluruh dunia. Pertama kali terdeteksi oleh Lab Intelijen Ancaman Comodo, ini adalah skala besar, berbasis email serangan ransomware di mana varian malware Trojan baru muncul sebagai file yang tidak dikenal dan dapat menyelinap ke infrastruktur organisasi yang tidak curiga dan tidak siap.

Hanya dalam beberapa hari pertama terkoordinasi serangan ransomware locky, puluhan ribu pengguna menjadi sasaran email yang tampak sederhana dengan lampiran dan sedikit atau tanpa konten di badan email. Lampiran adalah file arsip, dengan nama "E 2017-08-09 (580).vbs," (untuk setiap email, "580" adalah nomor yang selalu berubah dan "vbs" adalah ekstensi yang selalu berubah).

file trojan
Grafik nama file terlampir serupa, tetapi ekstensinya adalah file .doc, zip, pdf, atau gambar (a .jpg , atau tiff). Lampiran sebenarnya mengunduh โ€œIKARUSdilapidated,โ€ anggota terbaru dari keluarga ransomware โ€œLockyโ€. Dinamakan untuk penampilan "IKARUS bobrok" โ€‹โ€‹dalam string kode, ini jelas terkait dengan Trojan "Ransom Locky" dan memiliki beberapa karakteristik yang sama.

Rekayasa sosial digunakan untuk membuat pengguna mengklik dan ketika pengguna melakukan seperti yang diinstruksikan, makro kemudian menyimpan dan menjalankan file biner yang mengunduh Trojan enkripsi yang sebenarnya, yang akan mengenkripsi semua file yang cocok dengan ekstensi tertentu, termasuk yang umum di sebagian besar mesin. Setelah enkripsi, pesan yang ditampilkan di desktop pengguna menginstruksikan mereka untuk unduh peramban Tor, yang populer karena memungkinkan penjelajahan anonim, dan kemudian mengunjungi situs web tertentu yang dioperasikan secara kriminal untuk informasi lebih lanjut.

Situs web berisi instruksi yang menuntut pembayaran tebusan antara 0.5 dan 1 bitcoin (saat ini, satu bitcoin bervariasi nilainya antara 500-1000 Euro) untuk melepaskan file yang sekarang dienkripsi untuk (semoga) mendekripsi file mereka.

file trojan

Pakar Phishing dan Trojan dari Comodo Threat Intelligence Lab (bagian dari Comodo Laboratorium Penelitian Ancaman) mendeteksi "Locky" baru ini serangan ransomware dan memverifikasi bahwa mereka mulai pada 9 Agustus dengan lebih dari 62,000 contoh email phishing telah terdeteksi di titik akhir yang dilindungi Comodo hanya dalam tiga hari pertama. Lampiran dibaca sebagai "file tidak dikenal," dimasukkan ke dalam penahanan, dan ditolak masuk sampai mereka dianalisis oleh teknologi Comodo dan, dalam hal ini, ahli laboratorium manusia.

Grafik Intelijen Ancaman Analisis Lab terhadap ribuan email yang dikirim dalam kampanye phishing mengungkapkan data serangan ini: 11,625 alamat IP berbeda di 133 negara berbeda digunakan untuk melakukan kampanye ini. Negara yang menampung server serangan terbanyak adalah Vietnam, India, Meksiko, Turki, dan Indonesia.

Tim yang memeriksa pemilik rentang IP melihat bahwa sebagian besar adalah perusahaan telekomunikasi dan ISP. Ini menunjukkan bahwa alamat IP milik komputer yang terinfeksi, sekarang dikompromikan (juga disebut "komputer zombie"). Jumlah server ini hanya dapat digunakan untuk tugas tertentu jika mereka dibentuk menjadi jaringan bot besar, atau botnet, dan memiliki arsitektur server perintah dan kontrol yang canggih. Artinya, deskripsi elemen serangan malware Agustus 2017 ini sekarang menyertakan istilah โ€œbotnetโ€, selain ransomware, Trojan, dan serangan phishing.

Ini juga menunjukkan peningkatan kecanggihan, organisasi, dan ukuran serangan ransomware baru dan menambahkan lebih banyak kepercayaan pada panggilan untuk bertindak dari pakar keamanan di mana saja untuk "mengadopsi postur penolakan keamanan default" dan menolak masuk ke infrastruktur TI Anda ke yang baru, "tidak diketahui" file.

Fatih Orhan, kepala Lab Intelijen Ancaman Comodo dan Comodo Laboratorium Penelitian Ancaman (CTRL), kata, โ€œSerangan phishing ransomware terbaru yang dimulai pada 9 Agustus ini unik dalam kombinasi kecanggihan dan ukurannya, dengan botnet dan lebih dari 11 ribu alamat IP dari 133 negara yang terlibat hanya dalam tahap pertama serangan. Ketika kecerdasan buatan tidak dapat mengidentifikasi file yang tidak dikenal ini, sumber daya penuh dari lab diperlukan untuk melakukan analisis ransomware locky untuk mengidentifikasi kode dalam file dan membuat keputusan; dalam hal ini putusannya โ€œburukโ€ dan sekarang kami telah menambahkannya ke daftar hitam dan daftar tanda tangan malware kami.โ€

Orhan melanjutkan, โ€œMenggunakan keamanan 'penolakan default' dengan penahanan file yang tidak dikenal adalah apa yang melindungi pengguna kami dari ancaman ransomware baru yang menjijikkan ini. Bahkan 'izinkan default' plus yang terbaru Mesin belajar algoritma dan AI tidak akan cukup untuk mencegah infeksi.โ€

Dia menambahkan bahwa botnet, seperti yang dibuat dalam serangan ini, adalah senjata yang sangat ampuh bagi penjahat untuk digunakan dalam skala serangan ransomware mereka dan dengan membangun Trojan serangan siber sebelumnya seperti โ€œLockyโ€ 2016, semakin mudah untuk mengembangkan ransomware kelas atas yang tidak akan diakui sebagai "buruk" dengan memimpin perlindungan endpoint platform.

Analisis Teknis โ€“ Penyelaman Lebih Dalam
Jika Anda ingin tahu lebih banyak tentang ancaman ini dan menyelami lebih dalam kode dan bagaimana serangan itu diterapkan, baca yang baru โ€œLaporan KHUSUS Lab Comodo Threat Intelligence: AGUSTUS 2017 โ€“ IKARUS bobrok.โ€ Laporan khusus ini beserta lampirannya meliputi:

  • Analisis teknis Comodo Threat Intelligence Lab dari sampel yang terkandung dari IKARUSdilapidated
  • Script berjalan selama eksekusi
  • Lebih detail tentang ekstensi dan lokasi server yang digunakan dalam serangan

Laporan Khusus ini dan Laporan Ancaman Lab Penelitian Ancaman Comodo kuartal sebelumnya dapat ditemukan di area Laporan di https://www.comodo.com/resources/

_______________________________________________________________________________________________________________

Sumber Daya Terkait:

UJI KEAMANAN EMAIL ANDA DAPATKAN SCORECARD KEAMANAN INSTAN ANDA GRATIS Sumber: https://blog.comodo.com/comodo-news/new-locky-ransomware-trojan-spotted/

tempat_img

Intelijen Terbaru

tempat_img

Hak Cipta @ 2024 Plato Technologies Inc.