Zestawienie tygodniowe 2 – 8 listopada

Ransomware Babuk atakuje luki w Exchange w nowej kampanii

Według badaczy bezpieczeństwa z Cisco Talos, nowo zaobserwowana kampania ransomware Babuk jest wymierzona w luki ProxyShell w Microsoft Exchange Server.

Naukowcy zauważyli oznaki, że osoby atakujące używają powłoki internetowej China Chopper do początkowego włamania, a następnie wykorzystują ją do rozmieszczenia Babuka.

Błędy śledzone jako CVE-2021-34473, CVE-2021-34523 i CVE-2021-31207 zostały rozwiązane w kwietniu i maju, a szczegóły techniczne podano do publicznej wiadomości w sierpniu. Nieuwierzytelniony atakujący może połączyć błędy w celu wykonania dowolnego kodu.

Ataki wykorzystujące błędy bezpieczeństwa trwały od kilku miesięcy, a badacze Cisco twierdzą, że działający od lipca 2021 r. „cyberprzestępca Tortilla” zaczął atakować błędy Exchange Server.

Zastosowany łańcuch infekcji zawiera pośredni moduł rozpakowujący, który jest pobierany z pastebin.pl (klon pastebin.com), a następnie dekodowany w pamięci przed odszyfrowaniem i wykonaniem końcowego ładunku.

Firma Cisco Talos odkryła, że do początkowego włamania wykorzystywany jest zmodyfikowany exploit EfsPotato, którego celem są zarówno luki ProxyShell, jak i PetitPotam.

Po uruchomieniu ransomware Babuk próbuje wyłączyć serię procesów na zaatakowanym serwerze, zatrzymać produkty do tworzenia kopii zapasowych, a także usuwa migawki usługi woluminów w tle (VSS). Następnie szyfruje wszystkie pliki na serwerze i dołącza do nich rozszerzenie „.babyk”.

Oprogramowanie ransomware następnie wdraża żądanie okupu, żądając od ofiary zapłaty okupu w wysokości 10 000 USD w zamian za klucz deszyfrujący.

Początkowo, szczegółowo omówiony w styczniu 2021 r., Babuk był ukierunkowany na systemy Windows i Linux w środowiskach korporacyjnych i używa dość złożonego mechanizmu generowania kluczy, aby zapobiec odzyskiwaniu plików. Darmowe narzędzie do deszyfrowania Babuk zostało wydane w zeszłym tygodniu.

FBI ostrzega przed oszustwami z Kodami QR

Federalne Biuro Śledcze (FBI) opublikowało w tym tygodniu ostrzeżenie dotyczące oszustw, które kierują ofiary do korzystania z bankomatów kryptowalutowych i kodów szybkiej odpowiedzi (QR) w celu dokonywania transakcji płatniczych.

Kody QR mogą być używane do wypełniania pól odbiorcy podczas próby wysłania kryptowaluty do określonego miejsca docelowego, a także mogą być używane w bankomatach z kryptowalutami do dokonywania płatności.

Chociaż kody QR są już od jakiegoś czasu wykorzystywane do legalnych płatności, cyberprzestępcy zaczęli je wykorzystywać, aby otrzymywać od swoich ofiar nieuczciwe płatności w kryptowalutach.

W tym celu cyberprzestępcy angażują się w internetowe systemy, w których podszywają się pod funkcjonariuszy prawnych, organy ścigania lub przedsiębiorstwo użyteczności publicznej – a także inicjują internetowe romanse, aby nakłonić niczego niepodejrzewające ofiary do wysłania im pieniędzy.

„Oszust często żąda zapłaty od ofiary i może nakazać ofierze wypłatę pieniędzy z kont finansowych ofiary, takich jak konta inwestycyjne lub emerytalne” – wyjaśnia FBI.

Ofiara otrzymuje kod QR powiązany z portfelem kryptowalutowym oszusta, a także jest kierowana do fizycznego bankomatu kryptowalutowego w celu zakupu kryptowaluty i wysłania go oszustowi za pomocą dostarczonego kodu QR.

Według FBI oszuści często są w ciągłej komunikacji z ofiarą przez cały proces, aby przekazać im instrukcje krok po kroku i upewnić się, że płatność została zakończona.

Przesłane w ten sposób środki są trudne do odzyskania, ze względu na zdecentralizowany charakter kryptowaluty – wyjaśnia również Biuro. Po zrealizowaniu płatności cyberprzestępca natychmiast staje się właścicielem kryptowaluty i zwykle przenosi ją na zagraniczne konto.