DuTy^ Posted May 12, 2017 Report Posted May 12, 2017 Salutare, acum 35 minute in Spania a inceput sa explodeze la nivel informatic, multe firme mari gen Telefonica (gen romtelecom la noi) BBVA Capgemini Orange Pwc Vodafone si mult mai multi printre care si banci au fost infectate de ransomware care se multiplica utilizand eternalblue cu doublepulsar. Marea majoritate a pc-urilor infectate erau windows 7. (Asta cred eu ca sa intamplat ca au folosit eternalblue, inca nu au spus nimic oficial) Cei de la telefonica au trimis mail la toata compania sa opreasca calculatoarele si tot ce e conectat la retea si sa desconecteze telefoanele de la wifi, au anuntat la fel prin megafonie la sediul central, dupa toata lumea a fost scoasa afara (zici ca era apocalipsa) Da-ti si voi cu translate http://www.telecinco.es/informativos/tecnologia/Telefonica-ataque-malware-hackeo_0_2369850315.html Eu astept sa se strecoare pe undeva prin ATM-uri, atunci sa vezi haos. Asa ca stiu ca e urat, dar faceti update la windows ca de acum o luna a iesit patch-ul // despre subiect in engleza: https://www.bleepingcomputer.com/news/security/telefonica-tells-employees-to-shut-down-computers-amid-massive-ransomware-outbreak/ //usr 8 Quote
theeternalwanderer Posted May 12, 2017 Report Posted May 12, 2017 S-ar parea ca atacul este la nivel international. https://twitter.com/malwrhunterteam Quote
Usr6 Posted May 12, 2017 Report Posted May 12, 2017 anglia: https://www.wired.co.uk/article/nhs-cyberattack-ransomware-security https://www.theguardian.com/society/2017/may/12/hospitals-across-england-hit-by-large-scale-cyber-attack Quote
asswipe Posted May 12, 2017 Report Posted May 12, 2017 Some Men Just Want To Watch The World Burn Some one paid for the NHS attack: https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn https://twitter.com/fendifille/status/862997621039878145/photo/1 Quote
adba Posted May 12, 2017 Report Posted May 12, 2017 49 minutes ago, asswipe said: Some Men Just Want To Watch The World Burn Some one paid for the NHS attack: https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn https://twitter.com/fendifille/status/862997621039878145/photo/1 Cum funcționează de fapt procesul de trimitere/ridicare a bitcoin-ilor? Chiar nu poate fi depistat destinatarul banilor? Quote
yoyois Posted May 12, 2017 Report Posted May 12, 2017 (edited) 17 minutes ago, adba said: Cum funcționează de fapt procesul de trimitere/ridicare a bitcoin-ilor? Chiar nu poate fi depistat destinatarul banilor? Nu se poate. Tranzactia este urmarita direct de pe blockchain si se asteapta confirmarea ei (nu ca ar conta). Contul virusului este cunoscut de catre public dar este imposibil a sti cine l-a creeat si cine ii cunoaste "parola". (ma refer la cheia privata) Bitcoinii platiti pot fi "marcati" si urmariti daca sunt cheltuiti si pe ce, de aia hackerii folosesc spalatorii de bitcoin care incearca sa stearga urma banilor. Chiar daca s-ar incerca urmarirea banilor ar dura mult timp si ar costa foarte mult. Spoiler Spalatoriile de bitcoin aduna bani din mai multe surse si pe o durata lunga de timp ii amesteca. Din punctul tau de vedere tu trimiti de pe un cont 1BTC catre o spalatorie iar in decursul a 2 saptamani primesti intr-un alt cont specificat cate 0.1 BTC o data pe zi. (alti BTC de la alte persoane). Politiei ii este imposibil sa arate ca primul cont care a trimis 1BTC apartine aceleiasi persoane care a primit 0.99BTC (in celalalt cont) deoarece sunt multe tranzactii de la multe persoane diferite. repeta procesul de spalare de 2-3 ori (de fiecare data cu conturi diferite) si nimeni nu mai poate demonstra direct ca tu ai acei bani. PS: Daca are cineva documente tehnice, analize, samples, etc. sa puna aici sau sa dea un PM. (Cred ca e doar un cryptowall prost facut cu exploitul lipit deasupra dar vreau sa ma conving.) Plus cum de a trecut de firewall si a intrat in "intranet"? Edited May 12, 2017 by yoyois 2 Quote
adba Posted May 12, 2017 Report Posted May 12, 2017 La cum judec eu, mă gândesc că autoritățile(poliția) ar putea dezactiva procesul ăsta de spălare. Tu zici că ei cunosc locul inițial unde intră banii imediat după ce au fost plătiți. Dacă chiar îl cunosc, nu îl pot și controla? Quote
yoyois Posted May 12, 2017 Report Posted May 12, 2017 17 minutes ago, adba said: La cum judec eu, mă gândesc că autoritățile(poliția) ar putea dezactiva procesul ăsta de spălare. Tu zici că ei cunosc locul inițial unde intră banii imediat după ce au fost plătiți. Dacă chiar îl cunosc, nu îl pot și controla? Se sunoaste adresa Bitcoin , politia nu poate pur si simplu inchide un wallet bitcoin. Bitcoin e construit intr-un mod special iar integritatea unui block nu poate fi corupta. Nu vreau sa plictisesc pe nimeni cu modelul blockchainului dar pe scurt. Walletul (contul de bitcoin) este defapt o "parola" care iti permite sa efectuezi tranzactii cu banii primiti. Banii primiti sunt defapt tranzactii intr-un block (block care nu poate fi schimbat de nimeni). Nimeni nu poate inchide o adresa de BTC (pentru ca nu este nimic de inchis) cine are parola controleaza banii si asta e tot. Nimeni nu poate modifica, returna o tranzactie BTC. Toate tranzactiile sunt inregistrate in blockuri care nu pot fi modificate. Pe scurt BTC e modena perfecta pt asa ceva. Mai mult virusul foloseste mai multe adrese diferite pentru a primi banii. Despre spalatoriile de bani: Multe spalatorii au fost inchise. de obicei spalatoriile sunt tinute prin Rusia sau cine stie unde.(unele spalatorii sunt private) In plus legalitatea unei spalatorii de BTC este discutabila, teoretic ei nu fac nimic gresit. 4 Quote
usrnm Posted May 12, 2017 Report Posted May 12, 2017 3 hours ago, yoyois said: PS: Daca are cineva documente tehnice, analize, samples, etc. sa puna aici sau sa dea un PM. (Cred ca e doar un cryptowall prost facut cu exploitul lipit deasupra dar vreau sa ma conving.) Plus cum de a trecut de firewall si a intrat in "intranet"? Se pare ca e vorba de asta: https://www.hybrid-analysis.com/sample/b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25?environmentId=100 E cea mai completa analiza gasita pana acum 2 Quote
QuoVadis Posted May 12, 2017 Report Posted May 12, 2017 4 hours ago, adba said: La cum judec eu, mă gândesc că autoritățile(poliția) ar putea dezactiva procesul ăsta de spălare. Tu zici că ei cunosc locul inițial unde intră banii imediat după ce au fost plătiți. Dacă chiar îl cunosc, nu îl pot și controla? Cum au spus si cei de mai sus btc-ul se poate da prin tumblere specifice si nu ti-l mai gaseste nici dracu'. Sunt tot felul de variante si metode si daca depui nitel efort li se pierde urma. La lucru am primit atacuri masive si initial credeam ca sunt ransomware-uri dar unele sunt pdf-uri cu exploit-uri si altele sunt link-uri care atunci cand dai click un script iti downloadeaza tot ce ai salvat in browser: user, parole, cookies, etc. Ce e nasol e ca astfel de chestii vor da apa la moara pentru propaganda si legi stupide care nu au nici o treaba cu astfel de lucruri. Meanwhile, in Rromania.. Spoiler 5 Quote
adba Posted May 13, 2017 Report Posted May 13, 2017 (edited) 3 hours ago, cretu_dan said: Este semnalat si in Romania? There have been reports of infections in 99 countries, including the UK, US, China, Russia, Spain, Italy and Taiwan. http://www.bbc.com/news/technology-39901382 @cretu_dan în articol scrie de 99 de țări. Cine are de câștigat de pe urma acestui atac cibernetic? În primul rând se va da frâu liber legilor de supraveghere online. Asta se urmărește de mult, nu? În al doilea rând companiile afectate vor fi nevoite să facă upgrade la Windows 10. Avantaj Microsoft, nu? Edited May 13, 2017 by adba Quote
yoyois Posted May 13, 2017 Report Posted May 13, 2017 11 hours ago, usrnm said: Se pare ca e vorba de asta: https://www.hybrid-analysis.com/sample/b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25?environmentId=100 E cea mai completa analiza gasita pana acum E doar decryptorul. Fisierul nu pare sa contina si Ransomwareul si exploitul din cate vad. (in plus analiza e slaba, facuta pe baza unor heuristici aproximate si niste hashuri). Multam de informare. Quote
ytwrecords Posted May 13, 2017 Report Posted May 13, 2017 (edited) https://arstechnica.com/security/2017/05/an-nsa-derived-ransomware-worm-is-shutting-down-computers-worldwide/ Quote The virally spreading worm was ultimately stopped when a researcher who uses the Twitter handle MalwareTech and works for security firm Kryptos Logic took control of a domain name that was hard-coded into the self-replicating exploit. The domain registration, which occurred around 6 AM California time, was a major stroke of good luck, because it was possible only because the attackers had failed to obtain the address first. The address appeared to serve as a sort of kill switch the attackers could use to terminate the campaign. MalwareTech's registration had the effect of ending the attacks that had started earlier Friday morning in other parts of the world. As a result, the number of infection detections plateaued dramatically in the hours following the registration. It had no effect on WCry infections that were initiated through earlier campaigns. Edited May 13, 2017 by ytwrecords 1 Quote
tjt Posted May 13, 2017 Report Posted May 13, 2017 Mie mi se pare destul de exagerat si chiar as zice umflat subiectul... Totusi ce companie care se respecta tine date pe calculatoarele angajatilor ? Toate datele sunt tinute pe server, angajatii doar interogheaza serverul.... Ok, s-au compromis cateva calculatoare, dar pana la anunturile apocaliptice care apar pe toate site-urile de stiri mi se pare cale lunga. 2 Quote
Sithalkes Posted May 13, 2017 Report Posted May 13, 2017 (edited) 4 hours ago, cretu_dan said: Este semnalat si in Romania? http://www.digi24.ro/stiri/economie/companii/dacia-mioveni-afectata-de-atacul-informatic-wannacry-723426 O multime de companii/institutii folosesc computere vechi cu xp, pentru introducere/prelucrare date, stocuri, etc, care, desi nu sunt critice, pot opri/intarzia productia, procesele tehnologice, etc. Dupa multi ani, este primul patch de securitate, lansat de microshit si pentru windows xp, la cateva ore de la atac. Oare de ce? Edited May 13, 2017 by Sithalkes 4 Quote
Usr6 Posted May 13, 2017 Report Posted May 13, 2017 @DuTy^ " Eu astept sa se strecoare pe undeva prin ATM-uri, atunci sa vezi haos. " n-o trebuit sa astepti prea mult - Bank of China 2 Quote
spider Posted May 13, 2017 Report Posted May 13, 2017 Parca nu era si asa destul de monitorizat netul, sa vezi acum. Cauza si efect, ambele fabricate artificial. In America au dat lege ptr vanzarea istoricului de cautare al utilizatorului, care da mai mult Cine a ajuns sa ne conduca, ai de plm ce timpuri traim.. 1 Quote
piticut29 Posted May 13, 2017 Report Posted May 13, 2017 Se poate spune ca se foloseste cyberspatiul pentru un razboi de control al informatiei. Se zice ca al treilea razboi mondial va incepe in reteaua internet, de aceea se investeste puternic in securitate informatica si se dau miliarde catre serviciile speciale. Aici este clar o metoda " Problema - Reactie - Solutie" . Se genereaza o problema , se propaga rapid o propaganda de haos , iar apoi se va veni cu solutia : de nevoia de secutitate si controlul asupra informatiei ..........Hackerii de obicei ataca pentru anumite venituri sau informatii tinte "usoare". Atacarea la nivel inalt a institutiilor si marile companii, miroase a implicare din partea serviciilor .......Se cauta tot mai mult ca sa se controleze anumite segmente strategice din reteaua mondiala, chiar cu incalcarea regulilor sau a legilor.........Este un inceput de CYBERWAR....... Quote 2 Quote
Active Members dancezar Posted May 13, 2017 Active Members Report Posted May 13, 2017 5 hours ago, Sithalkes said: http://www.digi24.ro/stiri/economie/companii/dacia-mioveni-afectata-de-atacul-informatic-wannacry-723426 O multime de companii/institutii folosesc computere vechi cu xp, pentru introducere/prelucrare date, stocuri, etc, care, desi nu sunt critice, pot opri/intarzia productia, procesele tehnologice, etc. Dupa multi ani, este primul patch de securitate, lansat de microshit si pentru windows xp, la cateva ore de la atac. Oare de ce? Patch-ul pentru problema aia a fost lansat acum aproape doua luni, timp suficient pentru companii sa il aplice. 2 Quote
Turry Posted May 13, 2017 Report Posted May 13, 2017 1 hour ago, piticut29 said: Se poate spune ca se foloseste cyberspatiul pentru un razboi de control al informatiei. Se zice ca al treilea razboi mondial va incepe in reteaua internet, de aceea se investeste puternic in securitate informatica si se dau miliarde catre serviciile speciale. Aici este clar o metoda " Problema - Reactie - Solutie" . Se genereaza o problema , se propaga rapid o propaganda de haos , iar apoi se va veni cu solutia : de nevoia de secutitate si controlul asupra informatiei ..........Hackerii de obicei ataca pentru anumite venituri sau informatii tinte "usoare". Atacarea la nivel inalt a institutiilor si marile companii, miroase a implicare din partea serviciilor .......Se cauta tot mai mult ca sa se controleze anumite segmente strategice din reteaua mondiala, chiar cu incalcarea regulilor sau a legilor.........Este un inceput de CYBERWAR....... A inceput razboiul. Propun sa ne echipam si sa intram si noi. 8 Quote
tjt Posted May 13, 2017 Report Posted May 13, 2017 (edited) 1 hour ago, adicode said: Mr. Robot real life :-)) "Gândiţi-vă cum ar intra cineva în datele voastre de la ANAF şi fie v-ar şterge datoriile" http://www.zf.ro/business-hi-tech/spune-unul-dintre-cei-cunoscuti-hackeri-buni-romania-atacul-cibernetic-acum-inainte-asteptati-rau-ganditi-ar-intra-cineva-datele-anaf-fie-v-ar-sterge-datoriile-fie-vi-le-ar-mari-16299877 Eu as fi fericit daca ar reusi sa intre si sa-mi stearga datoria de la intretinere dar... le mai trebui vreo 50 de ani ca sa se faca trecerea de la hartie la online. Edited May 13, 2017 by tjt 3 Quote
Sandu Posted May 13, 2017 Report Posted May 13, 2017 14 hours ago, cretu_dan said: Este semnalat si in Romania? Dacia, mioveni Quote