Cisco Talos Investigačný tím - TeslaCrypt nie je kryptomena, ale dobre známa rodina ransomwaru
Cisco Talos zverejňuje zoznam hrozieb, ktoré dominovali obdobiu od 3. januára do 10 januára. Rovnako ako tomu bolo u predchádzajúcich zhrnutí, tento článok nemá byť hĺbkovou analýzou. Namiesto toho zhrnie hrozby tak, že zdôrazní kľúčové vzorce správania sa, ukazovatele kompromitácie a prediskutuje ako sú naši zákazníci automaticky chránení pred týmito hrozbami.Okrem toho majte prosíme na zreteli, že vyhľadávanie indikátorov hrozby je len jedným zo spôsobov ako hľadať hrozby. Zistenie jediného indikátoru hrozby automaticky neznamená hrozbu. Detekcia a pokrytie nasledujúcich hrozieb podliehajú aktualizáciám a ďalšej analýze hrozby a zraniteľnosti.
Zoznam najčastejšie sa vyskytujúcich hrozieb:
|
Názov hrozby |
Typ |
Popis |
|
Win.Trojan.Razy-7505643-0 |
Trojan |
Razy je často obecným detekčným názvom pre Windows trojan. Zbiera citlivé informácie od infikovaného hostiteľa, šifruje dáta a posiela ich na server príkazov a kontroly (C2). Zozbierané informácie môžu obsahovať screenshoty. Vzorky upravujú funkčnosť automatického spúšťania tým, že nastavujú a vytvárajú hodnotu v registri pre pretrvávanie. |
|
Win.Dropper.Tofsee-7492214-1 |
Droper |
Tofsee je viacúčelový malware, ktorý obsahuje niekoľko modulov, ktoré sa používajú na vykonanie rôznych aktivít ako napr. posielanie spamových správ, vykonanie klik podvodu, ťaženia kryptomeny a iných. Infikované systémy sa stanú súčasťou Tofsee spam botnetu a používajú sa na posielanie veľkého množstva spamových správ na infikovanie ďalších systémov a zvýšenie celkovej veľkosti botnetu. |
|
Win.Packed.Ursnif-7489213-0 |
Zabalený (packed) |
Ursnif sa používa na krádež citlivých informácií z infikovaného hostiteľa a zároveň môže fungovať ako sťahovač malwaru. Bežne sa šíri prostredníctvom škodlivých emailov alebo exploit kitov. |
|
Win.Packed.ZeroAccess-7489468-1 |
Zabalený |
ZeroAccess je trojan, ktorý infikuje Windows systémy, inštaluje rootkit aby zamaskoval svoju prítomnosť v infikovanom stroji a slúži ako platforma pre realizáciu klik podvodov. |
|
Win.Ransomware.TeslaCrypt-7501245-1 |
Ransomware |
TeslaCrypt je dobre známa rodina ransomwaru, ktorý šifruje súbory uživateľa silným šifrovaním a požaduje Bitcoin za odblokovanie súborov. Bola objavená chyba v šifrujúcom algoritme, ktorá umožnila odšifrovanie súborov aj bez zaplatenia výkupného a nakoniec vývojári malwaru zverejnili hlavný kľúč, ktorý umožňuje jednoduchú obnovu všetkých šifrovaných súborov. |
|
Win.Dropper.Upatre-7491797-0 |
Droper |
Upatre je škodlivý sťahovač, ktorý sa často používa v exploit kitoch a pri phishingu. Upatre sťahuje a spúšťa škodlivé súbory ako napr. bankový malware. |
|
Win.Dropper.TrickBot-7490964-0 |
Droper |
Trickbot je bankový trojan/trójsky kôň zameraný na citlivé informácie určitých finančných inštitúcií. Tento malware je často šírený škodlivým spamom. Mnohé z tých hrozieb závisia na sťahovačoch pre distribúcie ako napr. VB skripty. |
|
Win.Packed.Formbook-7491272-1 |
Zabalený |
Formbook je zlodej informácií, ktorý sa snaží zozbierať citlivé informácie z infikovaného stroja tým, že zaznamenáva kliknutia klávesov na klávesnici, kradne prístupové informácie uložené v prehliadači a sleduje informácie kopírované do clipboardu. |
Ukážka Cisco nástroja na detekciu vírusov: príklad TeslaCrypt indikácie
ThreatGrid
Umbrella report
Pre každú hrozbu popísanú nižšie tento blok uverejňuje zoznam len 25 kontrolných súm asociovaných súborov a až 25 indikátorov hrozby pre každú kategóriu. Sprievodný JSON súbor, ktorý obsahuje kompletný zoznam kontrolných súm súborov ako aj ďalšie indikátory hrozby z tohto článku môžete nájsť TU
SKÚSTE SI TRIAL ZADARMO alebo nás oslovte pre konzultáciu.
*(SIG – Secure internet gateway), blokuje prístup užívateľov k doménam a IP adresám so škodlivým obsahom, bez ohľadu na to, či sa užívateľ nachádza vo firemnej sieti alebo mimo nej.