Malware kan slå EPP fra

15.juni 2020

C-cure har i den senere tid set mere målrettede og veltilrettelagte angreb mod virksomheder. Flere værktøjer anvendes og meget tager udspring i sårbarheder og/eller ofrenes sociale imødekommenhed

De seneste angreb er alvorlige og bygger på Medusa Locker / NetworkMaze malware:

Hvad vi ved.
Gerningsmændene bruger følgende typer angreb:

• Phishing-strategier - Kriminelle kan være ansvarlige for at oprette komplekse phishing-kampagner via e-mail eller hacker-kontrollerede websteder. De bruger falske navne eller udgiver sig for webtjenester og virksomheder. I stedet for direkte at sende virusfilerne kan kriminelle også linke dem i indholdet på mails
  
  
• Fildistribution - Filerne kan alternativt spredes på fildelingsnetværk som BitTorrent, hvor både populære pirat- og legitime filer ofte deles mellem brugere. En anden teknik, der bruges til at distribuere sådanne filer, er at inkludere virussen i browserkaprere (browser hijackers) - dette er farlige udvidelser, der er lavet til de mest populære webbrowsere. De uploades ofte til de relevante opbevaringssteder med falske legitimationsoplysninger.
  
  
• Direkte angreb - Hackerne kan målrette sikkerhedssvagheder i computere og / eller netværk.
  
  
• En typisk ransomware-infektion, som .networkmaze-virussen starter med  datahøstning - den vil skaffe følsomme oplysninger om brugerne og / eller deres maskiner. Dette kan bruges til andre forbrydelser såsom identitetstyveri og økonomisk misbrug. Når disse oplysninger behandles af malwaremotoren, kan de generere et unikt ID, der bruges til at skelne mellem de enkelte computere, der er inficeret med .networkmaze ransomware.
  
  
• Oplysningerne kan bruges til at scanne for tilstedeværelsen af sikkerhedsapplikationer og -tjenester. Der derefter deaktiveres eller omgås. Denne indstilling kan aktiveres af hackere. Derefter ændres indstillingerne – malwaret indstilles, som en vedvarende trussel, der starter ransomware, hver gang computeren tændes.
  
  
• Den anden farlige ændring der sker af systemet er redigering af Windows-registreringsdatabasen - ændringer af de eksisterende stammer kan føre til ydelsesproblemer, manglende evne til at starte visse tjenester og datatab.
  
  
• Slutteligt vil den egentlige virusaktivitet blive introduceret, der vil foregå en kryptering af følsomme filer ved hjælp af en kraftig krypteringsnøgle. Listen over filer vil typisk være følgende: multimediefiler, sikkerhedskopier, dokumenter, arkiver, sikkerhedskopier m.m. der alle modtager den relevante .networkmaze-udvidelse.

•  Da denne virus er en del af Medusa Locker ransomware-familien, vil den også lave en løsepenge-besked, i nogle tilfælde indstille skærmlås, for at afpresse ofrene til at betale et dekrypteringsgebyr.

Kontakt C-cure hvis du/I har specifikke spørgsmål, søger råd eller behøver vejledning i f.eks. IT rutiner, strategi eller valg af egnede sikkerhedsløsninger. Tlf. 45411446 eller support@c-cure.dk