Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Tag: ransomware

AuKill. Ransomware coraz częściej używa podatnych sterowników w Windows aby wyłączyć zaawansowane mechanizmy ochronne (np. EDR)

10 maja 2023, 15:03 | W biegu | komentarze 4
AuKill. Ransomware coraz częściej używa podatnych sterowników w Windows aby wyłączyć zaawansowane mechanizmy ochronne (np. EDR)

Technika przejęcia systemu z wykorzystaniem podatnych sterowników dostarczonych przez atakującego nie jest nowa (patrz np. akcję opisywaną przez nas tutaj), ale wg badaczy z Sophosa, jest wykorzystywana coraz chętniej. O co chodzi atakującym w całym tym zamieszaniu? Ano o to, aby skutecznie wyłączyć systemy antywirusowe / EDR czy inne „przeszkadzajki”…

Czytaj dalej »

Cyberatak na Centralny Szpital Kliniczny Uniwersytetu Medycznego w Łodzi

07 lutego 2023, 20:04 | W biegu | komentarze 22
Cyberatak na Centralny Szpital Kliniczny Uniwersytetu Medycznego w Łodzi

Od jednego z czytelników otrzymaliśmy dość lakoniczną informację o „ogólnej awarii całego systemu” w Centralnym Szpitalu Klinicznym w Łodzi. Niedługo później Rynek Zdrowia potwierdził informację o cyberataku na szpital: w dniu 6 lutego 2023 r. około godziny 5 rano doszło do cyberataku na system informatyczny placówki. Natychmiast udało się zlokalizować…

Czytaj dalej »

Uderzyli w Hive – jedną z bardziej aktywnych grup ransomware. Zwinięta infrastruktura, odzyskane 1300 kluczy deszyfrujących (!)

26 stycznia 2023, 20:49 | W biegu | komentarzy 7
Uderzyli w Hive – jedną z bardziej aktywnych grup ransomware. Zwinięta infrastruktura, odzyskane 1300 kluczy deszyfrujących (!)

Całość to pokłosie wspólnej operacji Europolu oraz FBI. Grupa Hive działała w dość standardowym modelu: ekipa atakująca / wymuszająca okup (inkasowała ona 80% okupu) oraz deweloperzy głównego „produktu” (20%). Historycznie, czasem udawało się odszyfrować pliki zainfekowane Hive (patrz: Przyspieszony kurs łamania kryptografii Hive ransomware ;-)), ale teraz nie ma to…

Czytaj dalej »

Ransomware w placówce medycznej w Otwocku. Objęte incydentem dane pacjentów z 5 lat, w tym dane kontaktowe, wyniki badań, dokumentacja medyczna.

17 stycznia 2023, 16:36 | W biegu | komentarze 33
Ransomware w placówce medycznej w Otwocku. Objęte incydentem dane pacjentów z 5 lat, w tym dane kontaktowe, wyniki badań, dokumentacja medyczna.

Stosowny komunikat dostępny jest w tym miejscu (jak widać strona informacyjna tej placówki medycznej nie posiada nawet HTTPS): (…) w dniu 13 stycznia 2023r. doszło do ataku hackerskiego na infrastrukturę serwerową Centrum Medycznego TW-MED, w wyniku którego nieuprawniony podmiot dokonał zaszyfrowania danych zgromadzonych za serwerze w sposób uniemożliwiający Centrum Medycznemu TW-MED dostęp…

Czytaj dalej »

Rackspace – jeden z popularnych dostawców cloudowych uderzony ransomware. Dane części klientów zostały wykradzione.

07 stycznia 2023, 09:38 | W biegu | 0 komentarzy
Rackspace – jeden z popularnych dostawców cloudowych uderzony ransomware. Dane części klientów zostały wykradzione.

Warty odnotowania przypadek w kontekście przekonania: nie no, mam infrastrukturę IT w cloudzie – ransomware nic mi nie zrobi. Rackspace to korporacja o ~3 miliardach USD rocznego przychodu, która w dość transparentny sposób raportuje tutaj: As an update on the ransomware attack itself, CrowdStrike has confirmed that they have obtained…

Czytaj dalej »

Szpital dziecięcy SickKids [Kanada] zainfekowany ransomware. Przestępcy uderzyli się w pierś i przesłali dekryptor

02 stycznia 2023, 08:52 | W biegu | 1 komentarz
Szpital dziecięcy SickKids [Kanada] zainfekowany ransomware. Przestępcy uderzyli się w pierś i przesłali dekryptor

Słodko-gorzki news na porządek 2023r.: Jak widzicie w oświadczeniu powyżej, grupa LockBit oświadcza, że ich partner (który dokonał ataku na SickKids) został zablokowany i wyrzucony z programu za złamanie zasad, a sam szpital otrzymał bezpłatnie dekryptor. Pamiętajmy jednak, że sama rozległa infekcja ransomware to gigantyczny problem dla działania całej infrastruktury…

Czytaj dalej »

Grupa ransomware Play grozi ujawnieniem danych belgijskiego miasta Antwerpia. To najpewniej ta sama grupa, która zaatakowała Urząd Marszałkowski Mazowsze

13 grudnia 2022, 09:57 | W biegu | komentarze 4
Grupa ransomware Play grozi ujawnieniem danych belgijskiego miasta Antwerpia. To najpewniej ta sama grupa, która zaatakowała Urząd Marszałkowski Mazowsze

Zaczynając od końca – jeśli chodzi o ransomware w Urzędzie Marszałkowskim Województwa Mazowieckiego, to kilku czytelników raportowało nam rozszerzenia .play widoczne na systemach po cyberataku. Tymczasem grupa ransomware PLAY ogłosiła włam do infrastruktury Antwerpii. Jak widać grożą wyciekiem ~557GB danych: Samo miasto rzeczywiście informuje o „cyber ataku„. Więcej informacji o…

Czytaj dalej »

Atak ransomware sparaliżował placówki zdrowotne w Ameryce Łacińskiej

07 grudnia 2022, 09:21 | W biegu | 0 komentarzy
Atak ransomware sparaliżował placówki zdrowotne w Ameryce Łacińskiej

Keralty – międzynarodowa organizacja opieki zdrowotnej – padła w zeszłą niedzielę ofiarą ataku grupy RansomHouse. Atak ransomware zakłócił działanie operacyjne firmy oraz stron internetowych. Oberwało się także spółkom zależnym (Colsanitas i EPS Sanitas). Keralty świadczy usługi medyczne obsługując międzynarodową sieć 12 szpitali oraz ponad 370 centrów medycznych w Ameryce Łacińskiej,…

Czytaj dalej »

Irańscy hakerzy wykorzystując Log4Shell włamali się do jednej z agencji w USA – powstał raport CISA

22 listopada 2022, 11:04 | W biegu | 0 komentarzy
Irańscy hakerzy wykorzystując Log4Shell włamali się do jednej z agencji w USA – powstał raport CISA

Jak informuje The Washington Post, hakerzy mający powiązania z irańskimi służbami włamali się do sieci agencji rządowej USA na początku 2022 r. wykorzystując znaną lukę w bibliotece oprogramowania open source Log4j w celu instalacji narzędzi do kopania kryptowalut, a także kradzieży danych uwierzytelniających. Wykorzystując lukę w zabezpieczeniach zwaną Log4Shell, wspierani…

Czytaj dalej »

Gdy nie wszyscy bohaterowie noszą peleryny – jak zostały złamane klucze do ransomware Zeppelin

22 listopada 2022, 11:02 | W biegu | 0 komentarzy
Gdy nie wszyscy bohaterowie noszą peleryny – jak zostały złamane klucze do ransomware Zeppelin

Wszystko zaczęło się w maju 2020 roku, gdy Piotr (dane zanonimizowane), IT manager w firmie technologicznej, musiał zmierzyć się z infekcją ransomware Zeppelin. Niestety jego poprzednik zostawił sieć w takim stanie zabezpieczeń, że kopie bezpieczeństwa także zostały zaszyfrowane. Po dwóch tygodniach zwodzenia go przez cyberzbójów, prezes był gotów skapitulować i…

Czytaj dalej »

Duńska kolej zatrzymana przez atak ransomware

09 listopada 2022, 15:05 | W biegu | komentarze 2
Duńska kolej zatrzymana przez atak ransomware

DSB, największy operator kolejowy w Danii, w ostatni weekend musiał zatrzymać wszystkie pociągi ze względu na atak na zewnętrznego dostawcę usług IT dla kolei – firmę Supeo. Kilkugodzinny paraliż od rana w sobotę był spowodowany atakiem na platformę Digital Backpack 2, która pozwala maszynistom uzyskiwać kluczowe informacje operacyjne dotyczące zajętości…

Czytaj dalej »

Nowe ransomware: Prestige atakuje Polskę i Ukrainę

15 października 2022, 02:40 | W biegu | komentarzy 5
Nowe ransomware: Prestige atakuje Polskę i Ukrainę

Zespół MSTIC z Microsoftu zidentyfikował nową kampanię ransomware uderzającą w przedsiębiorstwa i organizacje zajmujące się transportem oraz logistyką w Polsce i na Ukrainie. Nowa rodzina ransomware przedstawia się samodzielnie jako “Prestige ranusomeware” (specjalnie z literówką) i została uruchomiona w formie kampanii od 11 października atakując w/w. firmy z przerwami na…

Czytaj dalej »

Ransomware Exmatter niszczy wszystkie dane – ponowny kierunek rozwoju ransomware?

04 października 2022, 17:34 | W biegu | komentarze 3
Ransomware Exmatter niszczy wszystkie dane – ponowny kierunek rozwoju ransomware?

W związku z atakiem na Ukrainę o którym pisaliśmy w lutym, malware będący w posiadaniu grupy BlackCat/ALPHV ponownie narzuca kierunek rozwoju infekcji ransomware poprzez usuwanie i niszczenie plików oraz struktury organizacji zamiast jej szyfrowania. Niestety ten kierunek może szybko stać się głównym czynnikiem ataków motywowanych finansowo. Badacze z Cyderes oraz…

Czytaj dalej »

Nowa wersja Mallox ransomware atakuje podatne serwery MS SQL

30 września 2022, 23:09 | W biegu | 0 komentarzy
Nowa wersja Mallox ransomware atakuje podatne serwery MS SQL

Serwery baz danych Microsoft SQL, które od początku nie mają łatwo z bezpieczeństwem, po raz kolejny stały się głównym celem nowej fali ataków ransomware. Badacze z centrum ASEC (AhnLab Security Emergency Response Center) opisali nowe zagrożenie pod nazwą FARGO (znowu badacze z Avast jednocześnie nazwali infekcję TargetCompany), które należy do…

Czytaj dalej »