By | November 1, 2017

אוני ransomware נמצאה ביפן, מוקדם יותר השנה. על פי חוקרי האבטחה, האיום הוא תת מין ransomware GlobeImposter אשר, “כאשר הוא מדביק את זה, זה מצפין את הקובץ, מקצה את .oni סיומת לשם הקובץ, ומבקש התשלום לפענח את זה”

המומחים של Cybereason טוענים כי אוני הוא פחות ransomware, יותר “מגב כדי לכסות על מבצע פריצה מתוחכמת”.

בדוח האחרון שלהם, החוקרים קושר את השימוש אוני בפני התקפות מתוחכמות על התעשייה היפנית. הפלישות נמשך בין שלושה ותשעה חודשים, רק לשיאו השימוש ransomware. האיום, למעשה, שימש כדי להסתיר את המטרה ואת ההשפעה של הפריצה.

החקירה Cybereason חשף ransomware bootkit החדש, שנקרא MBR-אוני, אשר משנה את ה-MBR ומצפין מחיצות בדיסק.

“הגענו למסקנה כי אוני והן MBR-אוני נובעות השחקן האיום אותו מאז הם שימשו בשיתוף ב זהה התקפות והוא כופר שלהם מכיל את אותה כתובת האימייל,” המדינה מומחים.

השם אוני נובע סיומת הקובץ של הקבצים מוצפנים: ‘.oni’ שפירושו ‘שטן’ ביפנית. המונח מופיע גם כתובת המייל ליצירת קשר המשמשים את מכתבי כופר: “Oninoy0ru” אשר ניתן לתרגם יפנית עבור “לילה של השטן”.

במהלך ניתוח המופעים התקפה, Cybereason לב המודוס אופרנדי. זה התחיל עם התקפות דיוג חנית מוצלחת שהובילה כניסתה Ammyy מנהלה עכברוש, ואחריו נקודה של סיור או אישור גניבת והתנועה לרוחב “בסופו של דבר להתפשר על נכסים קריטיים, כולל את (בקר תחום DC), כדי להשיג שליטה מלאה על הרשת.”

השלב הסופי של ההתקפה היא השימוש ביומן המגבים, אוני מופץ באמצעות מדיניות קבוצתית (GPO) נוכלים, מה Cybereason מתאר כמדיניות”אדמה חרוכה”. ה-GPO להעתיק קובץ script אצווה משרת DC, מנגב נקי יומני אירועים של Windows כדי לטשטש עקבותיו של התוקפים למנוע זיהוי מבוסס יומן.

קובץ האצווה להשתמש בפקודה wevtutil יחד עם הדגל “מודיע”, ניקוי אירועים מיומני האירועים שצוינו יותר 460. אוני גם להיות שהועתק מן הבירה והוצאו להורג, מגוון רחב של קבצים מוצפנים.

MBR-ONI ransomware משמש יותר בצמצום נגד קומץ בלבד של נקודות הקצה. אלה היו הנכסים קריטיים כגון שרתי קבצים ושרת AD. למרות העובדה כי אוני והן MBR-אוני טכנית יכול להיות מפוענח (וגם כתוצאה מכך יכולה להיות מסווגת כ ransomware ולא המגבים), “אנחנו חושדים,” המומחים אומרים, “כי ה-MBR-אוני שימש קידמית כדי להסתיר את המניע האמיתי של הפעולה.”

החוקרים גם חושדים כי EternalBlue שימשה עם כלים אחרים להתפשט דרך הרשתות. למרות העובדה כי מנגב את יומן הרישום לבין השחיתות נתונים הנגרמת על ידי ההתקפות מקשה להיות מאושרות, צוין התיקון EternalBlue היה לא הותקן על המכונות פרוץ ומאפשר SMBv1 פגיע היה עדיין.

Ransomware אוני מניות קוד עם GlobeImposter, מראה סימני השפה הרוסית. “בעוד ראיות מסוג זה יכול היה להשאיר שם בכוונה על ידי התוקפים כמו דמה,” המדינה מומחים, “זה יכול גם להציע כי ההתקפות בוצעו על ידי דוברי רוסית או, לכל הפחות, כי ransomware נכתב על ידי דוברי רוסית-“

MBR-ONI ransomware משתמש הודעת הכופר ומזהה אותו עבור כל המכונות נגועים. גרסה מותאמת של הכלי DiskCryptor פתוח שימש את ההצפנה. אמנם זה יכול להיות מפוענחים אם התוקפים תספק את המפתח הנכון, “אנחנו חושדים כי התוקפים לא נועדה לספק שחזור עבור המכונות מוצפנים. במקום זאת, התוכנית נועדה לשמש קידמית כדי לכסות את העקבות של התוקפים, להסתיר את המניע של התקיפה.”

לפי המומחים, סביר כי רווח כספי היא המניע היחיד אוני התקפות ביפן. החוקרים גם הערה כי ישנם התרבו הדיווחים על ransomware בשימוש כמו מגב על ידי ופושעי אינטרנט והן מדינות הלאום בחלקים אחרים של העולם.

Leave a Reply

Your email address will not be published. Required fields are marked *