Mediamarkt utsatta för ransomware-attack

Det verkar vara en kampanj på gång...

Hos oss dök det upp vid lunch en zipfil med en 'beställning' från till synes etablerad kund (spoofad) med filnamn som alla säljare och ordermottagare hugger på direkt. I filen fans en 'beställning'.pdf.exe och alla som kör win-explorer i standardinställning kan gissa hur det ser ut där - dvs. 'beställning.pdf' (och ingen noterar att .pdf inte borde synas) och klickar för att få upp det.

Att dölja extension på filerna i windows filhanterarna borde beläggas med plågsamma straff för de som sätter upp datorerna på så sätt och även Microsoft själv för att de har det som default.

Det jobbiga är att Adobe har variant med dokument.pdf.exe på samma sätt som självuppackade ziparkivfiler så att man inte behöver installera en pdf-reader för dokumentet - inte för att jag sett sådana i verkligheten men det verka finnas om man söker lite.

Det visade sig vara en 'dropper' (trojansk häst kallades sådant förr) - de kan ligga och lurka väldigt länge i en dator, halv och helår innan aktivitet och väl installerad är experter på att gömma sig även för antivirusprogram, dölja processor, nät och HD-aktiviteter så att det inte syns i någon resurshanterare och ligger sedan och väntar på kommandon från command and controller som kan skjuta in vilken typ av skadlig mjukvara som helst när de känner för det eller har som resurs vid DDOS-attacker.

Filen som sådant var typ 33 kbyte stor om jag minns rätt och körde man i sandlåda såg man att den nyttjade maximalt av olika windows redan existerande resurser inklusive .NET och skulle man dissikera allt detta och få bort all obfuscated kod så är det som skrivet tidigare troligen bara typ 75-100 rader kod av något slag för att öppna vägen ut och slanga in mer avancerad kod.

Det intressanta var att extremt få antivirusföretag hade något alls på dem och de få som reagerade så vara databasen på några av dem bara 5 timmar gammalt när jag sökte runt - så det är lite zeroday-känsla för denna variant och inser att det kan missas av AV-programmen innan de hinner blir uppdaterade och tillräckligt många hinner trycka....

Man behöver inte vara dum utan bara lite ivrig/stressad och inte fullt uppmärksam för att angriparna skall få in första foten in i ett företags nätverk...

Och så skickar de juniorer.
Datasäkerhet är komplicerat på alla sätt och vis. Det finns ungdomar som är riktigt duktig, yngsta som jag vet har fixat en doktorsexamen var Karl Witte som bara var 13år.
Nå poängen är gemenen person som läser en 2 årig IT-expert program tillför inte mycket. Den kan komma med argument som att man ska använda teknik X,Y för att ha bra säkerhet. Och detta kan säkerligen vara rätt, bara det ibland är otroligt viktigt att kommunikationen också fungerar och folk kan dö om kommunikationen ej kommer fram. Det blir då en helt annan nivå av säkerhetstänk.
Så ta lösenord på en PLC, många har samma lösenord överallt. Med argumentet att de sitter på skyddade platser med skyddat nät. Att ha olika lösenord på varenda från en lista som olika företag har tillgång till och sedan med jämna mellanrum byta, leder inte nödvändigtvis till bättre driftsäkerhet.

Vi (kommun i Sthlmsområdet) körde med byte en gång i kvartalet. Resultat? Folk skrev upp sina lösenord på lapp och klistrade på skärm/dator.

Det verkar vara en kampanj på gång...

Hos oss dök det upp vid lunch en zipfil med en 'beställning' från till synes etablerad kund (spoofad) med filnamn som alla säljare och ordermottagare hugger på direkt. I filen fans en 'beställning'.pdf.exe och alla som kör win-explorer i standardinställning kan gissa hur det ser ut där - dvs. 'beställning.pdf' (och ingen noterar att .pdf inte borde synas) och klickar för att få upp det.

Att dölja extension på filerna i windows filhanterarna borde beläggas med plågsamma straff för de som sätter upp datorerna på så sätt och även Microsoft själv för att de har det som default.

Det jobbiga är att Adobe har variant med dokument.pdf.exe på samma sätt som självuppackade ziparkivfiler så att man inte behöver installera en pdf-reader för dokumentet - inte för att jag sett sådana i verkligheten men det verka finnas om man söker lite.

Det visade sig vara en 'dropper' (trojansk häst kallades sådant förr) - de kan ligga och lurka väldigt länge i en dator, halv och helår innan aktivitet och väl installerad är experter på att gömma sig även för antivirusprogram, dölja processor, nät och HD-aktiviteter så att det inte syns i någon resurshanterare och ligger sedan och väntar på kommandon från command and controller som kan skjuta in vilken typ av skadlig mjukvara som helst när de känner för det eller har som resurs vid DDOS-attacker.

Filen som sådant var typ 33 kbyte stor om jag minns rätt och körde man i sandlåda såg man att den nyttjade maximalt av olika windows redan existerande resurser inklusive .NET och skulle man dissikera allt detta och få bort all obfuscated kod så är det som skrivet tidigare troligen bara typ 75-100 rader kod av något slag för att öppna vägen ut och slanga in mer avancerad kod.

Det intressanta var att extremt få antivirusföretag hade något alls på dem och de få som reagerade så vara databasen på några av dem bara 5 timmar gammalt när jag sökte runt - så det är lite zeroday-känsla för denna variant och inser att det kan missas av AV-programmen innan de hinner blir uppdaterade och tillräckligt många hinner trycka....

Man behöver inte vara dum utan bara lite ivrig/stressad och inte fullt uppmärksam för att angriparna skall få in första foten in i ett företags nätverk...

Yeah. Iom att jag såg en video hur pass enkelt man kan launcha en hel RAT-installation så är det inte konstigt att shit happens varje dag.
Räckte med att du tryckte på en länk, en enkel bild fanns på hemsidan. Bilden var en .GIF med en binär kod i. Den binära koden startade en Powershell med admin i bakgrunden och körde en anslutning mot en hemsida. På hemsidan fanns en tiny .BAT fil med lite mer instruktioner som kördes. Därefter laddades RATen ned från ytterligare en server. Allt obfuscated och svårläst både för människa och maskin (anti-virus). Sedan startades RAT vid varje uppstart av PCn och voila. Full kontroll över filer och skärmstyrning, senaste versionen av RAT också.
RAT i detta fall var en white hat version som ska användas i utbildningssyfte men som på samma vis kan användas av red hats.
Edit: Allt ovan skedde med en totalt 53 rader kod efter man löst obfuscate biten.

Med den infon ovan plus interna tester från IT på ett företag jag tidigare arbetat på där 63% klickade på en länk i ett mail skickat av lokala IT från extern mail-adress är det den absolut enklaste vägen in..

Precis samma som att ta på sig en gul hardhat, reflexväst, penna och anteckningsblock och potentiellt en stege.
Bara och gå in nästan var som.

Vad är en gul hardhat?

"Bygghjälm"

http://www.procurator.net/sv-se/klader-skydd/huvudskydd/skydd...

Detta. Jag är mycket inne i engelskan och ibland kan jag inte Svenska ordet och tänkte att man förstår ändå. My bad!
Men gul bygghjälm skulle det nog stått. Sån som används när det finns risk för ras osv ovanifrån.

Okej jag är också dålig på svenska ord, bättre på engelska men bygghjälm är väl ändå något man borde kunna

Tack för intressant läsning!
Hoppas det löste sig för er och ja varför i h-lvete är det default att inte visa filtyp i namnet?