Πώς συνδέονται οι hackers Andariel με το Play ransomware;
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Πώς συνδέονται οι hackers Andariel με το Play ransomware;
https://www.secnews.gr/627476/pos-sindeontai-hackers-andariel-me-play-ransomware/
Oct 31st 2024, 14:24
Οι Βορειοκορεάτες hackers Andariel φαίνεται να συνδέονται με τη ransomware επιχείρηση Play, σύμφωνα με νέα έρευνα.
Μια αναφορά από την Palo Alto Networks και τους ερευνητές της Unit 42 ισχυρίζεται ότι η ομάδα Andariel μπορεί να είναι είτε affiliate της συμμορίας Play είτε να ενεργεί ως initial access broker (IAB), διευκολύνοντας την ανάπτυξη του κακόβουλου λογισμικού σε ένα δίκτυο που έχει ήδη παραβιάσει.
Οι hackers Andariel είναι μια κρατική hacking ομάδα που πιστεύεται ότι σχετίζεται με το Reconnaissance General Bureau της Βόρειας Κορέας, μια στρατιωτική υπηρεσία πληροφοριών. Το 2019, οι ΗΠΑ επέβαλαν κυρώσεις στους Βορειοκορεάτες Lazarus, Bluenoroff και Andariel για τις επιθέσεις τους σε αμερικανικούς οργανισμούς.
Δείτε επίσης: Επίθεση ransomware PSAUX στοχεύει 22.000 περιπτώσεις CyberPanel
Η ομάδα διεξάγει, συνήθως, επιθέσεις για κατασκοπεία και για απόκτηση χρημάτων, που βοηθούν στην χρηματοδότηση επιχειρήσεων της Βόρειας Κορέας. Οι hackers έχουν συνδεθεί και στο παρελθόν με επιχειρήσεις ransomware. Το 2022, η Kaspersky είπε ότι οι Andariel ανέπτυξαν το ransomware Maui σε επιθέσεις που στόχευαν την Ιαπωνία, τη Ρωσία, το Βιετνάμ και την Ινδία.
Η κυβέρνηση των ΗΠΑ κατέληξε στο ίδιο συμπέρασμα, προσφέροντας 10.000.000 $ για οποιαδήποτε πληροφορία σχετικά με τον Rim Jong Hyok, ένα μέλος της ομάδας, που ήταν υπεύθυνο για επιθέσεις ransomware σε κρίσιμες υποδομές και οργανισμούς υγειονομικής περίθαλψης στις ΗΠΑ.
Πώς οι Βορειοκορεάτες hackers Andariel συνδέονται με το Play ransomware
Τον Σεπτέμβριο του 2024, κατά την αντιμετώπιση μιας επίθεσης από το ransomware Play, η Unit 42 ανακάλυψε ότι η Andariel βρισκόταν πίσω από την παραβίαση του δικτύου του πελάτη της. Η παραβίαση είχε λάβει χώρα στα τέλη Μαΐου 2024.
Δείτε επίσης: Τα Fog και Akira ransomware παραβιάζουν εταιρικά δίκτυα μέσω SonicWall VPN
Οι επιτιθέμενοι πέτυχαν την αρχική πρόσβαση μέσω ενός παραβιασμένου λογαριασμού χρήστη και, στη συνέχεια, εξήγαγαν registry dumps και ανέπτυξαν το Mimikatz για να κλέψουν credentials.
Στη συνέχεια, ανέπτυξαν το open-source pentesting suite Sliver για command and control (C2) beaconing και το custom info-stealing malware, DTrack.
Τους επόμενους μήνες, οι hackers Andariel ενίσχυσαν την παρουσία τους στο δίκτυο, δημιουργώντας κακόβουλες υπηρεσίες και Remote Desktop Protocol (RDP) sessions και αφαιρώντας εργαλεία προστασίας.
Ωστόσο, στις 5 Σεπτεμβρίου, εκτελέστηκε ο PLAY ransomware encryptor στο δίκτυο για την κρυπτογράφηση των συσκευών. Οι ερευνητές πιστεύουν ότι η παρουσία των hackers Andariel και η ανάπτυξη του Play ransomware στο ίδιο δίκτυο δεν είναι τυχαία.
Αρχικά, παρατήρησαν ότι χρησιμοποιήθηκε ο ίδιος λογαριασμός για αρχική πρόσβαση, χρήση εργαλείων, lateral movement, κλιμάκωση προνομίων και απεγκατάσταση EDR λύσεων. Ο ίδιος λογαριασμός οδήγησε στην ανάπτυξη ransomware του Play.
Επιπλέον, η επικοινωνία Sliver C2 σταμάτησε λίγο πριν από την ανάπτυξη του ransomware.
Δείτε επίσης: Ρώσικο δικαστήριο καταδικάζει τέσσερα μέλη της συμμορίας REvil Ransomware
Τέλος, εργαλεία του ransomware Play, συμπεριλαμβανομένων των TokenPlayer και PsExec, βρέθηκαν στο C:\Users\Public\Music, που ταιριάζουν με κοινές τακτικές που παρατηρήθηκαν σε προηγούμενες επιθέσεις.
Ωστόσο, οι ερευνητές δεν είναι σίγουροι εάν οι Andariel ενήργησαν ως συνεργάτης του Play ransomware ή αν παραβίασαν το δίκτυο του πελάτη και πούλησαν την πρόσβαση στη ransomware συμμορία.
Προστασία από ransomware
Δημιουργία αντιγράφων ασφαλείας των δεδομένων σας: Ένας από τους πιο αποτελεσματικούς τρόπους για να προστατευτείτε από μια επίθεση ransomware είναι να δημιουργείτε τακτικά αντίγραφα ασφαλείας των δεδομένων σας. Αυτό διασφαλίζει ότι ακόμα κι αν τα δεδομένα σας είναι κρυπτογραφημένα από ransomware, θα έχετε ένα ασφαλές αντίγραφο που μπορεί να αποκατασταθεί χωρίς να πληρώσετε τα λύτρα.
Πώς συνδέονται οι hackers Andariel με το Play ransomware;
Ενημέρωση λειτουργικού συστήματος και λογισμικού: Τα μη ενημερωμένα λειτουργικά συστήματα και λογισμικά είναι ευάλωτα σε επιθέσεις στον κυβερνοχώρο. Είναι σημαντικό να ενημερώνετε τακτικά τις συσκευές σας με τις πιο πρόσφατες ενημερώσεις ασφαλείας και λογισμικού για να αποτρέψετε τυχόν ευπάθειες που θα μπορούσαν να χρησιμοποιηθούν από ransomware.
Προσοχή σε ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου και συνδέσμους: Οι επιθέσεις ransomware συχνά ξεκινούν με ένα phishing email ή κακόβουλο σύνδεσμο. Είναι σημαντικό να είστε προσεκτικοί όταν ανοίγετε μηνύματα ηλεκτρονικού ταχυδρομείου από άγνωστους αποστολείς. Επίσης, μην κάνετε κλικ σε ύποπτους συνδέσμους. Αυτά θα μπορούσαν να οδηγήσουν στην εγκατάσταση ransomware στη συσκευή σας.
Χρήση λογισμικού προστασίας από ιούς: Η εγκατάσταση αξιόπιστου λογισμικού προστασίας από ιούς στις συσκευές σας μπορεί να σας βοηθήσει να εντοπίσετε και να αποτρέψετε επιθέσεις ransomware. Φροντίστε να ενημερώνετε τακτικά το λογισμικό προστασίας από ιούς για να βεβαιωθείτε ότι είναι εξοπλισμένο για να χειρίζεται νέες απειλές.
Δείτε επίσης: Ransomware συμμορίες χρησιμοποιούν τη φήμη του LockBit για να πιέσουν τα θύματα
Εκπαίδευση: Ένα από τα πιο σημαντικά βήματα για την προστασία από ransomware είναι η εκπαίδευση. Είναι σημαντικό να παραμένετε ενημερωμένοι για τους πιο πρόσφατους τύπους ransοmware και τον τρόπο λειτουργίας τους. Οι οργανισμοί θα πρέπει επίσης να εκπαιδεύουν τους υπαλλήλους τους για το πώς να εντοπίζουν και να αποφεύγουν πιθανές επιθέσεις.
Εφαρμογή ισχυρών κωδικών πρόσβασης: Οι αδύναμοι ή εύκολοι κωδικοί πρόσβασης μπορούν να διευκολύνουν τους hackers να αποκτήσουν πρόσβαση στις συσκευές σας και να εγκαταστήσουν ransomware. Είναι σημαντικό να χρησιμοποιείτε ισχυρούς και μοναδικούς κωδικούς πρόσβασης και να ενεργοποιείτε τον έλεγχο ταυτότητας δύο παραγόντων όποτε είναι δυνατόν.
Χρήση VPN: Ένα VPN κρυπτογραφεί τη σύνδεσή σας στο Διαδίκτυο και παρέχει ένα επιπλέον επίπεδο ασφάλειας έναντι επιθέσεων ransomware. Αυτό είναι ιδιαίτερα σημαντικό όταν χρησιμοποιείτε δημόσια δίκτυα Wi-Fi, τα οποία είναι συχνά μη ασφαλή και ευάλωτα σε επιθέσεις.
Πηγή: www.bleepingcomputer.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Πώς συνδέονται οι hackers Andariel με το Play ransomware;
https://www.secnews.gr/627476/pos-sindeontai-hackers-andariel-me-play-ransomware/
Oct 31st 2024, 14:24
Οι Βορειοκορεάτες hackers Andariel φαίνεται να συνδέονται με τη ransomware επιχείρηση Play, σύμφωνα με νέα έρευνα.
Μια αναφορά από την Palo Alto Networks και τους ερευνητές της Unit 42 ισχυρίζεται ότι η ομάδα Andariel μπορεί να είναι είτε affiliate της συμμορίας Play είτε να ενεργεί ως initial access broker (IAB), διευκολύνοντας την ανάπτυξη του κακόβουλου λογισμικού σε ένα δίκτυο που έχει ήδη παραβιάσει.
Οι hackers Andariel είναι μια κρατική hacking ομάδα που πιστεύεται ότι σχετίζεται με το Reconnaissance General Bureau της Βόρειας Κορέας, μια στρατιωτική υπηρεσία πληροφοριών. Το 2019, οι ΗΠΑ επέβαλαν κυρώσεις στους Βορειοκορεάτες Lazarus, Bluenoroff και Andariel για τις επιθέσεις τους σε αμερικανικούς οργανισμούς.
Δείτε επίσης: Επίθεση ransomware PSAUX στοχεύει 22.000 περιπτώσεις CyberPanel
Η ομάδα διεξάγει, συνήθως, επιθέσεις για κατασκοπεία και για απόκτηση χρημάτων, που βοηθούν στην χρηματοδότηση επιχειρήσεων της Βόρειας Κορέας. Οι hackers έχουν συνδεθεί και στο παρελθόν με επιχειρήσεις ransomware. Το 2022, η Kaspersky είπε ότι οι Andariel ανέπτυξαν το ransomware Maui σε επιθέσεις που στόχευαν την Ιαπωνία, τη Ρωσία, το Βιετνάμ και την Ινδία.
Η κυβέρνηση των ΗΠΑ κατέληξε στο ίδιο συμπέρασμα, προσφέροντας 10.000.000 $ για οποιαδήποτε πληροφορία σχετικά με τον Rim Jong Hyok, ένα μέλος της ομάδας, που ήταν υπεύθυνο για επιθέσεις ransomware σε κρίσιμες υποδομές και οργανισμούς υγειονομικής περίθαλψης στις ΗΠΑ.
Πώς οι Βορειοκορεάτες hackers Andariel συνδέονται με το Play ransomware
Τον Σεπτέμβριο του 2024, κατά την αντιμετώπιση μιας επίθεσης από το ransomware Play, η Unit 42 ανακάλυψε ότι η Andariel βρισκόταν πίσω από την παραβίαση του δικτύου του πελάτη της. Η παραβίαση είχε λάβει χώρα στα τέλη Μαΐου 2024.
Δείτε επίσης: Τα Fog και Akira ransomware παραβιάζουν εταιρικά δίκτυα μέσω SonicWall VPN
Οι επιτιθέμενοι πέτυχαν την αρχική πρόσβαση μέσω ενός παραβιασμένου λογαριασμού χρήστη και, στη συνέχεια, εξήγαγαν registry dumps και ανέπτυξαν το Mimikatz για να κλέψουν credentials.
Στη συνέχεια, ανέπτυξαν το open-source pentesting suite Sliver για command and control (C2) beaconing και το custom info-stealing malware, DTrack.
Τους επόμενους μήνες, οι hackers Andariel ενίσχυσαν την παρουσία τους στο δίκτυο, δημιουργώντας κακόβουλες υπηρεσίες και Remote Desktop Protocol (RDP) sessions και αφαιρώντας εργαλεία προστασίας.
Ωστόσο, στις 5 Σεπτεμβρίου, εκτελέστηκε ο PLAY ransomware encryptor στο δίκτυο για την κρυπτογράφηση των συσκευών. Οι ερευνητές πιστεύουν ότι η παρουσία των hackers Andariel και η ανάπτυξη του Play ransomware στο ίδιο δίκτυο δεν είναι τυχαία.
Αρχικά, παρατήρησαν ότι χρησιμοποιήθηκε ο ίδιος λογαριασμός για αρχική πρόσβαση, χρήση εργαλείων, lateral movement, κλιμάκωση προνομίων και απεγκατάσταση EDR λύσεων. Ο ίδιος λογαριασμός οδήγησε στην ανάπτυξη ransomware του Play.
Επιπλέον, η επικοινωνία Sliver C2 σταμάτησε λίγο πριν από την ανάπτυξη του ransomware.
Δείτε επίσης: Ρώσικο δικαστήριο καταδικάζει τέσσερα μέλη της συμμορίας REvil Ransomware
Τέλος, εργαλεία του ransomware Play, συμπεριλαμβανομένων των TokenPlayer και PsExec, βρέθηκαν στο C:\Users\Public\Music, που ταιριάζουν με κοινές τακτικές που παρατηρήθηκαν σε προηγούμενες επιθέσεις.
Ωστόσο, οι ερευνητές δεν είναι σίγουροι εάν οι Andariel ενήργησαν ως συνεργάτης του Play ransomware ή αν παραβίασαν το δίκτυο του πελάτη και πούλησαν την πρόσβαση στη ransomware συμμορία.
Προστασία από ransomware
Δημιουργία αντιγράφων ασφαλείας των δεδομένων σας: Ένας από τους πιο αποτελεσματικούς τρόπους για να προστατευτείτε από μια επίθεση ransomware είναι να δημιουργείτε τακτικά αντίγραφα ασφαλείας των δεδομένων σας. Αυτό διασφαλίζει ότι ακόμα κι αν τα δεδομένα σας είναι κρυπτογραφημένα από ransomware, θα έχετε ένα ασφαλές αντίγραφο που μπορεί να αποκατασταθεί χωρίς να πληρώσετε τα λύτρα.
Πώς συνδέονται οι hackers Andariel με το Play ransomware;
Ενημέρωση λειτουργικού συστήματος και λογισμικού: Τα μη ενημερωμένα λειτουργικά συστήματα και λογισμικά είναι ευάλωτα σε επιθέσεις στον κυβερνοχώρο. Είναι σημαντικό να ενημερώνετε τακτικά τις συσκευές σας με τις πιο πρόσφατες ενημερώσεις ασφαλείας και λογισμικού για να αποτρέψετε τυχόν ευπάθειες που θα μπορούσαν να χρησιμοποιηθούν από ransomware.
Προσοχή σε ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου και συνδέσμους: Οι επιθέσεις ransomware συχνά ξεκινούν με ένα phishing email ή κακόβουλο σύνδεσμο. Είναι σημαντικό να είστε προσεκτικοί όταν ανοίγετε μηνύματα ηλεκτρονικού ταχυδρομείου από άγνωστους αποστολείς. Επίσης, μην κάνετε κλικ σε ύποπτους συνδέσμους. Αυτά θα μπορούσαν να οδηγήσουν στην εγκατάσταση ransomware στη συσκευή σας.
Χρήση λογισμικού προστασίας από ιούς: Η εγκατάσταση αξιόπιστου λογισμικού προστασίας από ιούς στις συσκευές σας μπορεί να σας βοηθήσει να εντοπίσετε και να αποτρέψετε επιθέσεις ransomware. Φροντίστε να ενημερώνετε τακτικά το λογισμικό προστασίας από ιούς για να βεβαιωθείτε ότι είναι εξοπλισμένο για να χειρίζεται νέες απειλές.
Δείτε επίσης: Ransomware συμμορίες χρησιμοποιούν τη φήμη του LockBit για να πιέσουν τα θύματα
Εκπαίδευση: Ένα από τα πιο σημαντικά βήματα για την προστασία από ransomware είναι η εκπαίδευση. Είναι σημαντικό να παραμένετε ενημερωμένοι για τους πιο πρόσφατους τύπους ransοmware και τον τρόπο λειτουργίας τους. Οι οργανισμοί θα πρέπει επίσης να εκπαιδεύουν τους υπαλλήλους τους για το πώς να εντοπίζουν και να αποφεύγουν πιθανές επιθέσεις.
Εφαρμογή ισχυρών κωδικών πρόσβασης: Οι αδύναμοι ή εύκολοι κωδικοί πρόσβασης μπορούν να διευκολύνουν τους hackers να αποκτήσουν πρόσβαση στις συσκευές σας και να εγκαταστήσουν ransomware. Είναι σημαντικό να χρησιμοποιείτε ισχυρούς και μοναδικούς κωδικούς πρόσβασης και να ενεργοποιείτε τον έλεγχο ταυτότητας δύο παραγόντων όποτε είναι δυνατόν.
Χρήση VPN: Ένα VPN κρυπτογραφεί τη σύνδεσή σας στο Διαδίκτυο και παρέχει ένα επιπλέον επίπεδο ασφάλειας έναντι επιθέσεων ransomware. Αυτό είναι ιδιαίτερα σημαντικό όταν χρησιμοποιείτε δημόσια δίκτυα Wi-Fi, τα οποία είναι συχνά μη ασφαλή και ευάλωτα σε επιθέσεις.
Πηγή: www.bleepingcomputer.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια