Hackerlar MBR-ONI Ransomware hedeflenen silecek kullanın.

Computer Security News

ONI ransomware Japonya, bu yılın başlarında bulundu. Güvenlik araştırmacılara göre tehdit alt familyasına ait bir GlobeImposter ransomware hangi, “, bulaştığında bu dosyayı şifreler, dosya uzantısı .oni atar ve bunu şifresini çözmek ödeme sorar”

Cybereason uzmanlardan ONI ransomware daha az ve daha fazla “ayrıntılı bir hack operasyonu kapsayacak bir silecek.” olduğunu iddia ediyor

Onların en son raporunda, araştırmacılar Japon Sektöründen karmaşık saldırılarla ONI kullanımına bağlı. Akınlarına arasında üç ve dokuz ay sürdü ve sadece ransomware kullanımında sonuçlandı. Sonuç olarak, tehdit amaç ve belgili tanımlık kesmek etkisini gizlemek için kullanıldı.

Cybereason MBR-ONI, hangi belgili tanımlık MBR değiştirir ve disk bölümleri şifreler adı verilen yeni bir bootkit ransomware göstermiştir.

“ONI ve MBR-ONI birlikte kullanıldıkları beri gelen aynı tehdit aktör kaynaklanıyor sonucuna içinde aynı hedefli saldırılar ve onların fidye notu aynı e-posta adresini içeren” uzmanlar devlet.

ONI türetilen şifreli dosyaların dosya uzantısı adı: ‘.oni’ ‘şeytan’ Japonca’da anlamına gelir. Terim de fidye notu kullanılan iletişim e-posta adresi görüntülenir: “Oninoy0ru” Japonca ‘Şeytan ücrete’ tercüme edilebilir.

Saldırı örnekleri analiz edilirken, Cybereason bir modus operandi fark ettim. Ammyy Admin fare giriş, ardından bir nokta keşif ve kimlik hırsızlığı ve yanal hareketi “ödün sonuçta kritik varlıkları, dahil olmak üzere etki alanı denetleyicisi (yol açtı başarılı spear-phishing saldırıları ile başladı Ağ üzerinde tam kontrol kazanmak için DC).”

Saldırı son aşaması günlük silecekler kullanılır ve ONI bir haydut Grup İlkesi (GPO) kullanılarak dağıtılmış, ne Cybereason ‘yanık toprak Politikası’ olarak anlatılmaktadır. GPO’nun bir toplu komut dosyası saldırganların iz bırakmamak ve günlük tabanlı algılama önlemek için Windows olay günlüklerini silerek temiz DC sunucudan kopyalamak.

Yanı sıra daha fazla 460 belirtilen olay günlüğündeki olayları temizlemek “cl” bayrak wevtutil komutunu toplu iş dosyası kullanılır. ONI Ayrıca DC’den kopyalanabilir ve idam, büyük bir dizi dosya şifreleme.

MBR-ONI ransomware sadece bir avuç bitiş noktaları karşı daha idareli kullanılır. Bu reklam sunucusu ve dosya sunucuları gibi kritik varlıkları vardı. ONI ve MBR-ONI teknik olarak şifresi (ve dolayısıyla silecekler yerine ransomware olarak sınıflandırılabilir), aslında rağmen uzmanlar söylüyorlar, “Biz şüpheli,” “MBR-ONI operasyonun gerçek güdü gizlemeye silecek kullanıldığını.”

Araştırmacılar Ayrıca EternalBlue ağları aracılığıyla yaymak için diğer araçları ile kullanıldı şüpheleniyoruz. Günlük silme ve saldırılarının neden veri bozulması yapar bu teyit edilmesi zor olmasına rağmen bu EternalBlue yama güvenliği aşılan makinelerde yüklenmemiş ve savunmasız SMBv1 hala etkin belirtilmişti.

ONI ransomware kod GlobeImposter ile hisse ve Rusça dil izlerini gösterir. “Bu tür bir kanıt orada bilerek saldırganlar tarafından bırakılmış iken yem,” uzmanlar devlet, “Bu da önerebilirsiniz saldırıları Rus konuşmacılar tarafından veya en azından dışarı yapılmıştır, ransomware tarafından yazılmıştır Rus hoparlörleri.”

MBR-ONI ransomware aynı fidye mesaj ve kimliği tüm enfekte makineleri için kullanır. Açık kaynak DiskCryptor aracı değiştirilmiş bir sürümü şifreleme için kullanıldı. Ne saldırganların sağ tuş, “Biz saldırganların asla kurtarma için şifreli makineleri sağlamak amaçlanmıştır şüpheli. sağlarsanız bu şifresi çözülmüş olabilir Bunun yerine, program bir silecek saldırganların ayak izleri kapak ve saldırı’nın cinayet sebebi gizlemek için kullanılan gerekiyordu.”

Uzmanlara göre bu para kazanma tek sebebi içindir ONI Japonya’da saldırıları düşüktür. Araştırmacılar Ayrıca bir silecek siber suçluların ve dünyanın diğer bölgelerinde ulus devletler tarafından kullanılan ransomware sayısı gittikçe artan bildirimler olduğunu unutmayın.


Leave a Reply

Your email address will not be published. Required fields are marked *