Zanim przejdziemy do szczegółów, odsyłam do opracowania, które relacjonowaliśmy niedawno: Jak negocjować (i czy w ogóle) z operatorami ransomware? Jakie są wpłacane kwoty? Ile średnio kosztuje odszyfrowanie PC-ta? Przechodząc do głównego tematu. Ekipa Coveware opublikowała nowy raport (Q4 2021) dotyczący aktywności ransomware. Jak obecnie ransomware dostaje się do firm? Poniżej…
Czytaj dalej »
O temacie donosi BleepingComputer: Later that night, QNAP took more drastic action and force-updated the firmware for all customers’ NAS devices to version 5.0.0.1891, the latest universal firmware released on December 23rd, 2021. Wg relacji użytkowników firmware jest instalowany, nawet gdy opcja automatycznych aktualizacji jest wyłączona. Całość w odpowiedzi na ransomware…
Czytaj dalej »
Tutaj ostrzeżenie od samego producenta: DeadBolt has been widely targeting all NAS exposed to the Internet without any protection and encrypting users’ data for Bitcoin ransom. Jakie zalecenia daje QNAP? Zablokować dostęp z Internetu do webowego panelu administracyjnego (jednocześnie warto też wyłączyć: Enable UPnP Port forwarding) Wykonać aktualizację do najnowszej…
Czytaj dalej »
Do ataku przyznała się grupa Belarusian Cyber Partisans: Mowa jest o zaszyfrowaniu „większości” serwerów / stacji roboczych (chociaż systemy automatyki zostały celowo oszczędzone): Białoruska kolej opublikowała informacje o pewnych problemach (ale raczej nie szafują szczodrze informacją co się wydarzyło): Ze względów technicznych internetowe zasoby informacyjne Kolei Białoruskich i usługi wystawiania…
Czytaj dalej »
Niedawno wspominaliśmy historię z podmianą ukraińskich stron rządowych takim komunikatem (poniżej widać ewidentnie sfałszowany tekst w języku polskim, w środku były również wstawione sztucznie koordynaty GPS z Warszawy): Tymczasem Microsoft właśnie ostrzega w ten sposób: Dzisiaj dzielimy się informacją, że zaobserwowaliśmy destrukcyjne złośliwe oprogramowanie w systemach należących do wielu ukraińskich…
Czytaj dalej »
Stosowny komunikat o zatrzymaniu 14 członków grupy ransomware REvil, mówi tak: W wyniku kompleksu skoordynowanych działań śledczych i operacyjnych przejęto środki pieniężne pod 25 adresami w miejscach zamieszkania 14 członków zorganizowanej grupy przestępczej. Ponad 426 mln rubli, w tym w kryptowalutach, 600 tys. USD, 500 tys. euro, a także sprzęt…
Czytaj dalej »
Informacja o incydencie pojawiła się w oficjalnym serwisie gminy (cynk przekazał nam Krzysiek). Czytamy tutaj: Administrator (…) zawiadamia o zaszyfrowaniu bazy programu kadrowo-finansowego. Co się wydarzyło? Opis jest dość enigmatyczny: pracownik Urzędu Gminy Nowiny otworzył zainfekowany link co skutkowało uruchomieniem oprogramowania złośliwego, który zainfekował serwer Z naszego doświadczenia ścieżka jest…
Czytaj dalej »
Taką ankietę na Twitterze uruchomiła Runa Sandvik, która wynajęła pokój w jednym z hoteli należących do sieci Nordic Choice Hotels (zatrudniającej przeszło 16000 pracowników). Jak widzicie na plakacie poniżej – komunikat nie jest zbyt optymistyczny „All our systems are temporarily down”. Runa dodaje, że nie działa jej karta do pokoju,…
Czytaj dalej »
Jeśli ktoś chce dogłębnie poznać temat, odsyłam do tego świeżego opracowania od NCC. Badacze przeanalizowali przeszło 700 przypadków negocjacji z operatorami ransomware (lata 2019-2021) i przygotowali całą mini książkę dotyczącą ekonomii ransomware a także (czy przede wszystkim) różnych strategii negocjacyjnych. Zobaczcie tutaj przykładowe ceny zmieniające się w zależności od tego…
Czytaj dalej »
Taki czarny scenariusz wygląda coraz bardziej realnie. Jeśli tylko jedna ekipa jest w przeciągu pół roku „zarobić” $90 000 000, to ma budżet na tzw. research&development…: Co więcej ekipa z Digital Shadows donosi, że zapytania o 0-daye coraz częściej pojawiają się na rozmaitych forach: Oferta $3 000 000 za 0…
Czytaj dalej »
Oryginalny tweet możecie zobaczyć tutaj: מביה״ח ברזילי מוסרים שהקטע צולם *לפני* המתקפה על הלל יפה. היום הם כבר יותר רגישים לפריימים שמצולמים אצלם. — Ben Mittelman (@BenMittelman) October 14, 2021 Więc relacja do telewizji, jesteśmy w razie czego przygotowani, a w tle dość intrygująca kartka. @lirantal przetłumaczył nam to tak:…
Czytaj dalej »
Jeśli ktoś jest spragniony technicznych szczegółów – od razu odsyłam tutaj (w szczególności dostępne są tam wskazane użyte przez atakujących narzędzia często wraz z konkretnymi ich wywołaniami). A w skrócie: akcja rozpoczęła się od wykorzystania podatności w Exchange (CVE-2021-34473, CVE-2021-34523, and CVE-2021-31207 – znane zbiorczo jako ProxyShell). Odpalenie exploita na…
Czytaj dalej »
O samym ataku sygnalizowaliśmy niedawno. Żądana kwota okupu wyniosła początkowo około miliarda PLN (przeliczenie z BTC), jednak ponoć po przystąpieniu MediaMarkt do negocjacji spadła do ~1/5 oryginalnego żądania. Podejrzewamy, że przestępcy zadowoliliby się nawet i paroma milionami… Co w Polsce? Sklepy na szczęście działają, choć można spodziewać się różnych perturbacji,…
Czytaj dalej »
O temacie zaczęto informować dzisiaj, a akcja trwa od ~7:00 rano. Wg tych doniesień atak dotyka aż ~3100 serwerów: Od jednego z czytelników otrzymaliśmy taki obrazek wskazujący na grupę Hive (potwierdza to również BleepingComputer): Czy dotyka to polskich sklepów? I tak i nie: serwis webowy działa, można przynajmniej wg naszych…
Czytaj dalej »
W maju tego roku pisaliśmy o ataku ransomware’a DarkSide na największy system rurociągów w USA – Colonial Pipeline. Atakowanie krytycznej infrastruktury państwa nigdy nie kończy się dobrze dla napastników. Tak było i tym razem – FBI udało się odzyskać zapłacony okup: To jednak nie koniec, gdyż osoby odpowiedzialne za atak…
Czytaj dalej »
