Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Tag: ransomware

Zapłacili grube miliony za odszyfrowanie infrastruktury. Ale zapomnieli o jednej rzeczy… więc zaszyfrowali ich ponownie!

03 lutego 2021, 13:46 | W biegu | komentarzy 7
Zapłacili grube miliony za odszyfrowanie infrastruktury. Ale zapomnieli o jednej rzeczy… więc zaszyfrowali ich ponownie!

Ciekawy wpis na blogu NCSC (National Cyber Security Centre). Autorzy wspominają o pewnej firmie, która zapłaciła równowartość około 30 milionów PLN (po obecnym kursie BTC) za dekryptor. Oczywiście wszystko w wyniku ataku ransomware. Napastnicy po uiszczeniu opłaty rzeczywiście dostarczyli działający dekryptor. Wszystko pięknie, ładnie. Firma wróciła do normalności, ciesząc się…

Czytaj dalej »

Ransomware u ogromnego ubezpieczyciela w Izraelu. Wyciekły też dane, a ofiarom rekomenduje się: „wyrobić nowe dowody osobiste / nowe prawa jazdy”

08 grudnia 2020, 19:47 | W biegu | 0 komentarzy
Ransomware u ogromnego ubezpieczyciela w Izraelu. Wyciekły też dane, a ofiarom rekomenduje się: „wyrobić nowe dowody osobiste / nowe prawa jazdy”

Tym razem ofiarą jest Shirbit, a wg doniesień poza zaszyfrowaniem danych, doszło również do kradzieży informacji (kilka terabajtów): On Saturday morning, the hackers released a large collection of documents, including screenshots of WhatsApp conversations, ID cards, marriage certificates and financial documents. W wycieku nie zabrakło szczegółów dotyczących również izraelskich, rządowych…

Czytaj dalej »

Hej admini! (i użytkownicy) Lepiej łatajcie ASAP Wasze instancje VMware. Grupa ransomware wykorzystuje podatność klasy RCE żeby przejmować hurtem całe farmy VMek

07 listopada 2020, 21:42 | W biegu | komentarze 3
Hej admini! (i użytkownicy) Lepiej łatajcie ASAP Wasze  instancje VMware. Grupa ransomware wykorzystuje podatność klasy RCE żeby przejmować hurtem całe farmy VMek

Z jednej strony wirtualizacja serwerów jest dobra (również ze względu na bezpieczeństwo) – z drugiej strony – co jeśli ktoś przejmie kontrolę nad hypervisorem? Taki właśnie scenariusz wg doniesień stosuje już jedna z ekip ransomware: Szczegóły samych wspomnianych wyżej luk znajdują się tutaj (i tutaj) a dotyczą nie tylko komponentu…

Czytaj dalej »

Ransomware bierze na celownik branżę gier – Capcom zaszyfrowany (producent Street Fightera, Resident Evil, …)

06 listopada 2020, 15:04 | W biegu | 0 komentarzy
Ransomware bierze na celownik branżę gier – Capcom zaszyfrowany (producent Street Fightera, Resident Evil, …)

Na razie firma wydała tylko krótkie oświadczenie: Beginning in the early morning hours of November 2, 2020 some of the Capcom Group networks experienced issues that affected access to certain systems, including email and file servers. The company has confirmed that this was due to unauthorized access carried out by…

Czytaj dalej »

Tym razem ransomware uderzył w branżę alkoholową. Żądają od Campari ~60 000 000 PLN okupu

06 listopada 2020, 14:49 | W biegu | 0 komentarzy
Tym razem ransomware uderzył w branżę alkoholową. Żądają od Campari ~60 000 000 PLN okupu

Sprawę opisuje ZDNet, a w akcji mamy klasykę – zarówno szyfrowanie infrastruktury jak i groźba ujawnienia wykradzionych danych. W ramach PoCa przestępcy opublikowali umowę firmy z jednym z amerykańskich aktorów – na promocję jednego z trunków:   Do ataku doszło 1. listopada 2020 roku, a firma wydała oświadczenie – odbudowujemy…

Czytaj dalej »

Ryuk – pięć godzin od pierwszego dostępu do infekcji ransomware. Case study.

19 października 2020, 16:05 | W biegu | komentarzy 6
Ryuk – pięć godzin od pierwszego dostępu do infekcji ransomware. Case study.

Pełen opis dostępny macie tutaj, a akcja rozgrywała się wyjątkowo szybko. Klik w e-mailu phishingowym – dostęp na niskouprzywilejowanego użytkownika – 17:01 Rekonesans po sieci wewnętrznej w celu poszukiwania domeny [skuteczne] odpalenie exploita na Zerologon – 19:41 Atak na drugi kontroler domeny Binarka Ryuka została rozpylona po sieci (via RDP) – 20:29…

Czytaj dalej »

Software AG – jedna z największych na świecie firm softwareowych uderzona przez ransomware. Okup: ~80 000 000 PLN.

11 października 2020, 10:00 | W biegu | komentarze 4
Software AG – jedna z największych na świecie firm softwareowych uderzona przez ransomware. Okup: ~80 000 000 PLN.

Operatorzy Clopa opublikowali w ramach dowodu paczkę wykradzionych danych: e-maile, skany paszportów, dokumenty finansowe. Sama spółka obsługuje ~10 000 klientów i jest siódmą co do wielkości firmą softwareową w Europie. Komunikat jaki dodatkowo otrzymała sama firma wygląda tak jak poniżej (niektórzy zwracają na nieco ironiczne rozpoczęcie komunikacji zwrotem Dear): Żądana…

Czytaj dalej »

Jedna z największych sieci szpitali w USA zainfekowana ransomware. „Wysoka aktywność dysków, później systemy zaczęły się kolejno wyłączać”

28 września 2020, 19:39 | W biegu | komentarze 4
Jedna z największych sieci szpitali w USA zainfekowana ransomware. „Wysoka aktywność dysków, później systemy zaczęły się kolejno wyłączać”

Chodzi o sieć UHS, która zatrudnia 90 000 osób i posiada 400 placówek (sumarycznie w USA oraz UK); roczne przychody sieci to mniej więcej 12 miliardów USD. Dzisiaj sieć wydała takie oświadczenie, sprowadzające się do stwierdzenia: sieć IT w placówkach naszej spółki nie działa z powodu „problemu bezpieczeństwa”. Podpisano: Jane Crawford, szef…

Czytaj dalej »

Niemiecki szpital został zainfekowany ransomware. Pacjentka została przekierowana, a zbyt późna pomoc prawdopodobnie przyczyniła się do jej śmierci

17 września 2020, 18:14 | W biegu | komentarze 4
Niemiecki szpital został zainfekowany ransomware. Pacjentka została przekierowana, a zbyt późna pomoc prawdopodobnie przyczyniła się do jej śmierci

Niemieckie media raportują o ataku ransomware, który miał miejsce kilka dni temu, a był wycelowany w szpital w Düsseldorfie. Ransomware zaszyfrował 30 serwerów, a sam szpital przestał przyjmować pacjentów (rownież tych wymagających intensywnej terapii): There is currently an extensive IT failure at the University Hospital Düsseldorf (UKD). This means, among other things,…

Czytaj dalej »

Makabra w banku. 12 000 komputerów zainfekowanych ransomware, oddziały zamknięte [Chile]

08 września 2020, 10:40 | Aktualności | komentarzy 6
Makabra w banku. 12 000 komputerów zainfekowanych ransomware, oddziały zamknięte [Chile]

BancoEstado – największy bank w Chile – został zainfekowany malware (prawdopodobnie chodzi o REvil). Pisząc kolokwialnie atakujący uderzyli z grubej rury: według doniesień zainfekowanych została większość serwerów i komputerów pracowników. Sam bank potwierdza zainfekowanie komputerów w oddziałach. While initially, the bank hoped to recover from the attack unnoticed, the damage…

Czytaj dalej »

Zatrzymano Rosjanina który zaoferował $1 000 000 pracownikowi amerykańskiej firmy – w zamian za zainstalowanie backdoora w sieci pracodawcy

26 sierpnia 2020, 22:36 | W biegu | komentarzy 7
Zatrzymano Rosjanina który zaoferował $1 000 000 pracownikowi amerykańskiej firmy – w zamian za zainstalowanie backdoora w sieci pracodawcy

Jak donosi The Hackers News, Rosjanin jak gdyby nigdy nic wjechał do USA na wizie turystycznej a następnie zaproponował solidną łapówkę za instalację backdoora w infrastrukturze pewnej firmy. Na dalszym etapie całość miała służyć do propagacji ransomware: The FBI has arrested a Russian national who recently traveled to the United…

Czytaj dalej »

Bleeping Computer: Canon uderzony przez ransomware.

05 sierpnia 2020, 18:17 | W biegu | 0 komentarzy
Bleeping Computer: Canon uderzony przez ransomware.

Wg Bleeping Computer Canon został zainfekowany przez Maze. Obecnie niedostępna jest amerykańska strona korporacji: Ucierpiała też strona przechowująca zdjęcia użytkowników w cloudzie. Sama korporacja informuje, że utraciła zdjęcia użytkowników znajdujące się w serwisie image.canon, na pocieszenie ostały się miniaturki, choć i tych na razie nie można pobrać. Update: operatorzy Maze…

Czytaj dalej »

Namierzyli ~1000 podatnych VPNów na całym świecie i udostępnili sieci do przejęcia przez ransomware. Na celowniku banki, instytucje rządowe, … Są również instytucje z Polski

05 sierpnia 2020, 11:39 | W biegu | 0 komentarzy
Namierzyli ~1000 podatnych VPNów na całym świecie i udostępnili sieci do przejęcia przez ransomware. Na celowniku banki, instytucje rządowe, … Są również instytucje z Polski

Chodzi o podatne rozwiązania VPN – Pulse Secure. Ktoś kojarzony z Rosją udostępnił 1800 adresów IP, gdzie można znaleźć te podatne rozwiązania. Jako bonus dorzucone zostały dodatkowe dane (typu loginy i hasła w plaintext – więcej o tym za chwilę): A well-known Russian-speaking Threat Actor shared details of over 1800 IPs…

Czytaj dalej »

Nowy gracz na rynku ransomware. Zarobili na infekcjach ~100 000 000 PLN w pięć miesięcy! Na celowniku również Polska

03 sierpnia 2020, 17:27 | W biegu | komentarzy 6
Nowy gracz na rynku ransomware. Zarobili na infekcjach ~100 000 000 PLN w pięć miesięcy! Na celowniku również Polska

Cóż, prawdziwe tornado ransomware zapewne jeszcze przed nami. Tymczasem można zaobserwować coraz mocniejsze podmuchy – tym razem jest to NetWalker. McAfee w swoim rozbudowanym raporcie wspomina o przychodach z okupów rzędu $25 000 000 (za okres od 1 marca 2020r. do końca lipca). Co jest celem przestępców? Większe firmy, które…

Czytaj dalej »

Garmin zakupił dekryptor dość szybko po zaszyfrowaniu infrastruktury. Cena wywoławcza to wg mediów ~40 000 000 PLN

03 sierpnia 2020, 11:51 | W biegu | komentarzy 5
Garmin zakupił dekryptor dość szybko po zaszyfrowaniu infrastruktury. Cena wywoławcza to wg mediów ~40 000 000 PLN

Niedawno pisaliśmy o ataku ransomware na Garmina (zresztą i na obecną chwilę wszystkie usługi nie pracują do końca poprawnie). Samo zaszyfrowanie miało miejsce 23. lipca, w wg doniesień BleepingComputer klucz deszyfrujący był prawdopodobnie kupiony raptem dzień lub dwa później. Sugeruje to timestamp plików poniżej: W akcji ratowania brały też udział dwie…

Czytaj dalej »