Újabb részletek derültek ki a Netwalker zsarolóprogramról

Szerző: Biztonságportál | Utolsó módosítás: 2020.06.10.
Biztonsági kutatók számos érdekességet tártak fel a Netwalker zsarolóvírussal kapcsolatban.
 

A Sophos olyan fájlokat leplezett le, amelyek a Netwalker zsarolóprogramhoz köthetők. Az állományok elemzésével a szakemberek az eddigieknél mélyebb szinten tudták elemezni a károkozót, amely már eddig is sok problémát okozott, különösen vállalati környezetekben.
 
A Netwalkert terjesztő bűnözői csapat változatos célpontokat támadott meg az Egyesült Államokban, Ausztráliában és Nyugat-Európában. A legutóbbi jelentések arra utalnak, hogy a támadók úgy döntöttek, hogy az erőforrásaikat inkább nagyobb szervezetekre összpontosítják.
 
A Sophos által felfedezett eszköztár vállalati hálózatok hozzáférési adatainak megszerzésére szolgáló programokat is tartalmaz. Noha a komplett károkozó legnagyobb részét a Netwalker összetevői teszik ki, azért a szóban forgó támadások alkalmával felbukkant a Zeppelin Windows-os zsarolóvírus és a Smaug nevű, Linux kompatibilis ransomware program is. Mindezek mellett a következő komponensek is kivették a részüket a károkozásokból:
  • hálózatfelderítést végző összetevő
  • jogosultsági szint emelésre alkalmas exploitok
  • Mimikatzet, Mimidogz és Mimikittenz
  • Microsoft SysInternals PsTools
  • NLBrute
  • TeamViewer és AnyDesk
  • biztonsági szoftverek megbénítására vagy eltávolítására alkalmas eszközök
 
"Nem teljesen egyértelmű, hogy a kampány mögött álló bűnözők hogyan vetik meg a lábukat az általuk célzott hálózatban, azonban a nyomok arra utalnak, hogy a gyakran használt, elavult szerverszoftverek (például a Tomcat vagy a Weblogic) jól ismert gyengeségeit, illetve a gyenge RDP jelszavakat használják ki" - mondta Szappanos Gábor, a Sophos kiberbiztonsági szakértője.
 
A támadások során az elkövetők egyebek mellett az alábbi sebezhetőségeket igyekeznek a saját javukra fordítani:
  • CVE-2020-0796 - (EternalDarkness SMBv3 exploit)
  • CVE-2019-1458 - Winodws-os sebezhetőség
  • CVE-2017-0213 - Windows COM sérülékenység
  • CVE-2015-1701 - "RussianDoll" biztonsági hiba
  • Dirtycow (pokemon exploit)
 
A fentiekből látható, hogy a naprakészen tartott operációs rendszerek és alkalmazások sokat segíthetnek a kockázatok csökkentésében.
További hírek
Vélemények
 
Riasztások
  1. 3
    PuTTY sebezhetőség

    A PuTTY alkalmazás egy biztonsági hibától vált meg.

  2. 3
    Samba biztonsági frissítések

    A Samba közepes veszélyességű sérülékenységek miatt kapott frissítést.

  3. 1
    Devilshadow

    A Devilshadow trójai sok funkcióval képes támogatni a kiberbűnözők által végrehajtott károkozásokat.

 
Partnerhírek
Az ESET kutatói feltérképezték a katonai és diplomáciai célpontokat támadó InvisiMole csoport működését

Az InvisiMole új kampányát vizsgálva az ESET kutatóinak sikerült feltárniuk a csoport frissített eszközkészletét, valamint a Gamaredon hackercsoporttal való szoros együttműködésük részleteit is.

​LinkedIn-en keresztül támadó hackereket lepleztek le az ESET kutatói

Álláshirdetésnek álcázott adathalász támadásokat lepleztek le az ESET kutatói, melyek vélhetően az észak- koreai illetőségű Lazarus csoporthoz köthetők.

További partnerhírek >>
hirdetés
Kiemelt hírek
Közösség

OLDALUNK

RSS
Impresszum
Hirdetési információk
Adatvédelem
Felhasználási feltételek

ROVATOK

Adatbiztonság
Családbiztonsag
Mobilbiztonság
Sebezhetőségek
Vírusvédelem

SHOP

Információk, szállítás, fizetés
Terméktámogatási információk

PARTNEREK

Androgeek
Hírposta
Hírhányó
Hírstart
Copyright by Isidor - Minden jog fenntartva!