Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Idzie nowe w ransomware: ~10 000 000 PLN zysku w kilka miesięcy dzięki takiej oto wyrafinowanej strategii…

21 stycznia 2019, 20:44 | W biegu | komentarzy 6

Twórcy ransomware wyciągają wnioski – klient detaliczny nie chce jakoś dużo płacić, więc może warto:

  • wycelować w duże (czyt. bogate) firmy
  • po pierwszym włamaniu zrobić dalszy rekonesans infrastruktury – poszukiwanie najcenniejszych zasobów
  • „poprosić” o okup – nawet do roku od czasu włamania (może już nie ma części backupów?)
  • zróżnicować kwoty okupu

Proceder realizowany przez grupę „GRIM SPIDER” przyniósł w kilka miesięcy około 705 BTC.

Początek infekcji jest standardowy – czyli mail phishingowy. Również standardowy jest finał (szyfrowanie zasobów). Niestandardowy jest jak widać „dodatkowy wysiłek ludzki”, mogący sabotować dodatkowo pewne ważne z punktu widzenia ofiary operacje:

net, and sc commands normally used by Ryuk to terminate processes and stop services related to anti-virus, backup, and database software.

Wyobraźcie sobie sytuację: po cichu wyłączamy backupy, czekamy rok, a na koniec szyfrujemy zasoby…

–ms

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. asd

    Trochę straszno, że poważne firmy przez rok nie są w stanie zauważyć braku backupów…

    Odpowiedz
  2. Maciej

    Serio ? Przez rok czasu nikt nie sprawdza kopii ? Nie testuje odtwarzania ? :)))

    Odpowiedz
    • serio myślę że wiele firm testy odtworzeniowe robi bardzo rzadko lub w ogóle…

      Odpowiedz
      • Radek

        Backup Schroedingera

        Odpowiedz
  3. Hshsh

    Jesli firma nie monitoruje uslug na koncowka h i nie zauwaza wylaczonego AV, braku backupow to w takim razie atak byl na male firmy gdzie mamy 1-100 uzytkownikow + tr w ktorych jest balaga i IT powinno byc wymienione.

    Odpowiedz
    • ajes

      Istatio robiłem pentest jednej z większych firm zajmujących się energiami odnawialnymi.
      Nie mieli pojęcia że ich antywirusy się nie aktualizują od ponad 5 lat na końcówkach. Owszem, nie wszystkich ale jednak.

      Odpowiedz

Odpowiedz