DŮLEŽITÉ VAROVÁNÍ: Zvýšená aktivita TrickBot-Ryuk
Za posledních 48 hodin došlo k výraznému vzestupu aktivity malwaru TrickBot a ransomwaru Ryuk. Náš tým technologií zaznamenal tuto aktivitu v zákaznické bázi AEC, a to hned v několika různých segmentech. Proto doporučujeme brát toto upozornění s maximální vážností.
Aktualizace 2. 11. 2020:
Přidány další identifikátory kompromitace související mimo jiné s botnetem Emotet. Při investigaci incidentů u našich zákazníků jsme identifikovali další IOC, které jsou nově přidány v tabulce níže.
Tento škodlivý software můžete znát z úspěšných proběhlých útoků v letošním i loňském roce, malware TrickBot a ransomware Ryuk byly také součástí útoku na Benešovskou nemocnici loni v prosinci. O tomto útoku a i dalších aktivitách útočníků, kteří využívají botnet Emotet nebo zmíněný malware jsme již několikrát psali [1, 2].
Ve středu 28. 10. 2020 informovala The Cybersecurity and Infrastructure Security Agency (CISA) o zvýšené aktivitě tohoto malware a o pravděpodobných útocích na nemocnice a zařízení poskytující zdravotní péči [3]. Na zvýšenou aktivitu botnetu Emotet na začátku října upozornil i český Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) [4].
Aktuální verze malwaru TrickBot už není jen běžným bankovním trojanem. Útočníci mají po napadení počítače nyní možnost odcizit přihlašovací údaje, e-mailové zprávy, těžit kryptoměny, odcizit data z platebních systémů nebo stáhnout další malware nebo ransomware na napadený systém.
Všem našim zákazníkům doporučujeme zkontrolovat aktuálnost jejich řešení pro ochranu koncových stanic a provést sken zranitelností, neboť právě zneužitím zranitelností se tento malware nejčastěji šíří v síti. Firmy, které disponují nástrojem pro vyhledávání IOC, mohou prohledat spravovaná zařízení na IOC uvedená v tabulce níže.
Typ IOC | IOC | Poznámka |
Název souboru | 12 znaků (včetně „.exe“) | Například mfjdieks.exe |
anchorDiag.txt | ||
Umístění podezřelého souboru v adresáři | C:\Windows\ | |
C:\Windows\SysWOW64\ | ||
C:\Users\\AppData\Roaming\ | ||
String | Global\fde345tyhoVGYHUJKIOuy | Typicky přítomný v běžící paměti |
/anchor_dns/[COMPUTERNAME]_ [WindowsVersionBuildNo].[32CharacterString]/ | Typicky přítomný v komunikaci na C&C server | |
Plánovaná úloha | [random_folder_name_in_%APPDATA%_excluding_Microsoft] autoupdate#[5_random_numbers] | |
CMD příkaz | cmd.exe /c timeout 3 && del C:\Users\[username]\[malware_sample] | |
cmd.exe /C PowerShell \"Start-Sleep 3; Remove-Item C:\Users\[username]\[malware_sample_location]\" | ||
DNS | kostunivo[.]com | DNS názvy spojované s Anchor_DNS (součást malwaru TrickBot) |
chishir[.]com | ||
mangoclone[.]com | ||
onixcellent[.]com | ||
innhanmacquanaogiare[.]com - aktualizováno 2020-11-02 | ||
edgeclothingmcr[.]com - aktualizováno 2020-11-02 | ||
DNS | ipecho[.]net | DNS názvy použité pro ověření konektivity |
api[.]ipify[.]org | ||
checkip[.]amazonaws[.]com | ||
ip[.]anysrc[.]net | ||
wtfismyip[.]com | ||
ipinfo[.]io | ||
icanhazip[.]com | ||
myexternalip[.]com | ||
IP adresa | 23[.]95[.]97[.]59 | IP adresy C&C serverů |
51[.]254[.]25[.]115 | ||
193[.]183[.]98[.]66 | ||
91[.]217[.]137[.]37 | ||
87[.]98[.]175[.]85 | ||
81[.]214[.]253[.]80 - aktualizováno 2020-11-02 | ||
94[.]23[.]62[.]116 - aktualizováno 2020-11-02 | ||
104[.]28[.]27[.]212 - aktualizováno 2020-11-02 | ||
172[.]67[.]169[.]203 - aktualizováno 2020-11-02 | ||
104[.]28[.]26[.]212 - aktualizováno 2020-11-02 | ||
93[.]114[.]234[.]109 - aktualizováno 2020-11-02 |
Pokud byste zaznamenali některé z výše uvedených IOC ve vaší síti nebo jinou podezřelou aktivitu, neváhejte se na nás
přímo obrátit pro konzultaci, analýzu incidentu nebo implementaci konkrétních bezpečnostních opatření.
Zdroje:
[1]:
https://aec.cz/cz/novinky/Stranky/zprava-o-bezpecnosti-v-prosinci-2019.aspx
[2]:
https://www.antivirus.cz/Blog/Stranky/pozvanka-na-vanocni-vecirek-poradany-botnetem-emotet.aspx
[3]:
https://us-cert.cisa.gov/ncas/alerts/aa20-302a
[4]:
https://www.nukib.cz/cs/infoservis/hrozby/1638-upozorneni-na-zvysenou-aktivitu-malwaru-emotet/