Jump to content
DuTy^

Ransomware cu Eternalblue (Spain)

Recommended Posts

Posted

Salutare, acum 35 minute in Spania a inceput sa explodeze la nivel informatic, multe firme mari gen Telefonica (gen romtelecom la noi) BBVA Capgemini Orange Pwc Vodafone si mult mai multi printre care si banci au fost infectate de ransomware care se multiplica utilizand eternalblue cu doublepulsar. Marea majoritate a pc-urilor infectate erau windows 7. (Asta cred eu ca sa intamplat ca au folosit eternalblue, inca nu au spus nimic oficial)

 

Cei de la telefonica au trimis mail la toata compania sa opreasca calculatoarele si tot ce e conectat la retea si sa desconecteze telefoanele de la wifi, au anuntat la fel prin megafonie la sediul central, dupa toata lumea a fost scoasa afara (zici ca era apocalipsa)

 

Da-ti si voi cu translate http://www.telecinco.es/informativos/tecnologia/Telefonica-ataque-malware-hackeo_0_2369850315.html

 

 

Eu astept sa se strecoare pe undeva prin ATM-uri, atunci sa vezi haos.

 

Asa ca stiu ca e urat, dar faceti update la windows ca de acum o luna a iesit patch-ul :)

 

//

despre subiect in engleza: https://www.bleepingcomputer.com/news/security/telefonica-tells-employees-to-shut-down-computers-amid-massive-ransomware-outbreak/

//usr

  • Upvote 8
Posted (edited)
17 minutes ago, adba said:

 

Cum funcționează de fapt procesul de trimitere/ridicare a bitcoin-ilor? Chiar nu poate fi depistat destinatarul banilor?

 

Nu se poate. Tranzactia este urmarita direct de pe blockchain si se asteapta confirmarea ei (nu ca ar conta).

Contul virusului este cunoscut de catre public dar este imposibil a sti cine l-a creeat si cine ii cunoaste "parola". (ma refer la cheia privata)

 

Bitcoinii platiti pot fi "marcati" si urmariti daca sunt cheltuiti si pe ce, de aia hackerii folosesc spalatorii de bitcoin care incearca sa stearga urma banilor.

Chiar daca s-ar incerca urmarirea banilor ar dura mult timp si ar costa foarte mult.

Spoiler

Spalatoriile de bitcoin aduna bani din mai multe surse si pe o durata lunga de timp ii amesteca.

Din punctul tau de vedere tu trimiti de pe un cont 1BTC catre o spalatorie iar in decursul a 2 saptamani primesti intr-un alt cont specificat cate 0.1 BTC o data pe zi. (alti BTC de la alte persoane).

Politiei ii este imposibil sa arate ca primul cont care a trimis 1BTC apartine aceleiasi persoane care a primit 0.99BTC (in celalalt cont) deoarece sunt multe tranzactii de la multe persoane diferite.

 

repeta procesul de spalare de 2-3 ori (de fiecare data cu conturi diferite) si nimeni nu mai poate demonstra direct ca tu ai acei bani.

 

PS: Daca are cineva documente tehnice, analize, samples, etc. sa puna aici sau sa dea un PM.

(Cred ca e doar un cryptowall prost facut cu exploitul lipit deasupra dar vreau sa ma conving.)

 

Plus cum de a trecut de firewall si a intrat in "intranet"?

Edited by yoyois
  • Upvote 2
Posted

La cum judec eu, mă gândesc că autoritățile(poliția) ar putea dezactiva procesul ăsta de spălare. Tu zici că ei cunosc locul inițial unde intră banii imediat după ce au fost plătiți. Dacă chiar îl cunosc, nu îl pot și controla?

Posted
17 minutes ago, adba said:

La cum judec eu, mă gândesc că autoritățile(poliția) ar putea dezactiva procesul ăsta de spălare. Tu zici că ei cunosc locul inițial unde intră banii imediat după ce au fost plătiți. Dacă chiar îl cunosc, nu îl pot și controla?

Se sunoaste adresa Bitcoin , politia nu poate pur si simplu inchide un wallet bitcoin. Bitcoin e construit intr-un mod special iar integritatea unui block nu poate fi corupta.

Nu vreau sa plictisesc pe nimeni cu modelul blockchainului dar pe scurt. Walletul (contul de bitcoin) este defapt o "parola" care iti permite sa efectuezi tranzactii cu banii primiti. Banii primiti sunt defapt tranzactii intr-un block (block care nu poate fi schimbat de nimeni).

Nimeni nu poate inchide o adresa de BTC (pentru ca nu este nimic de inchis) cine are parola controleaza banii si asta e tot.

Nimeni nu poate modifica, returna o tranzactie BTC. Toate tranzactiile sunt inregistrate in blockuri care nu pot fi modificate.

 

Pe scurt BTC e modena perfecta pt asa ceva. Mai mult virusul foloseste mai multe adrese diferite pentru a primi banii.

 

Despre spalatoriile de bani: Multe spalatorii au fost inchise. de obicei spalatoriile sunt tinute prin Rusia sau cine stie unde.(unele spalatorii sunt private) In plus legalitatea unei spalatorii de BTC este discutabila, teoretic ei nu fac nimic gresit.

 

  • Upvote 4
Posted
3 hours ago, yoyois said:

 

PS: Daca are cineva documente tehnice, analize, samples, etc. sa puna aici sau sa dea un PM.

 

(Cred ca e doar un cryptowall prost facut cu exploitul lipit deasupra dar vreau sa ma conving.)

 

Plus cum de a trecut de firewall si a intrat in "intranet"?

 

Se pare ca e vorba de asta: https://www.hybrid-analysis.com/sample/b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25?environmentId=100

E cea mai completa analiza gasita pana acum

  • Upvote 2
Posted
4 hours ago, adba said:

La cum judec eu, mă gândesc că autoritățile(poliția) ar putea dezactiva procesul ăsta de spălare. Tu zici că ei cunosc locul inițial unde intră banii imediat după ce au fost plătiți. Dacă chiar îl cunosc, nu îl pot și controla?

 

Cum au spus si cei de mai sus btc-ul se poate da prin tumblere specifice si nu ti-l mai gaseste nici dracu'. Sunt tot felul de variante si metode si daca depui nitel efort li se pierde urma.

 

La lucru am primit atacuri masive si initial credeam ca sunt ransomware-uri dar unele sunt pdf-uri cu exploit-uri si altele sunt link-uri care atunci cand dai click un script iti downloadeaza tot ce ai salvat in browser: user, parole, cookies, etc.


Ce e nasol e ca astfel de chestii vor da apa la moara pentru propaganda si legi stupide care nu au nici o treaba cu astfel de lucruri.

 

Meanwhile, in Rromania..

Spoiler

Untitled.jpg

 

  • Upvote 5
Posted (edited)
3 hours ago, cretu_dan said:

Este semnalat si in Romania?

 

There have been reports of infections in 99 countries, including the UK, US, China, Russia, Spain, Italy and Taiwan.

http://www.bbc.com/news/technology-39901382

 

@cretu_dan în articol scrie de 99 de țări.

 

Cine are de câștigat de pe urma acestui atac cibernetic?

În primul rând se va da frâu liber legilor de supraveghere online. Asta se urmărește de mult, nu?

În al doilea rând companiile afectate vor fi nevoite să facă upgrade la Windows 10. Avantaj Microsoft, nu?

Edited by adba
Posted
11 hours ago, usrnm said:

E doar decryptorul. Fisierul nu pare sa contina si Ransomwareul si exploitul din cate vad. (in plus analiza e slaba, facuta pe baza unor heuristici aproximate si niste hashuri).

Multam de informare.

Posted (edited)

https://arstechnica.com/security/2017/05/an-nsa-derived-ransomware-worm-is-shutting-down-computers-worldwide/

 

Quote

 

The virally spreading worm was ultimately stopped when a researcher who uses the Twitter handle MalwareTech and works for security firm Kryptos Logic took control of a domain name that was hard-coded into the self-replicating exploit. The domain registration, which occurred around 6 AM California time, was a major stroke of good luck, because it was possible only because the attackers had failed to obtain the address first.

The address appeared to serve as a sort of kill switch the attackers could use to terminate the campaign. MalwareTech's registration had the effect of ending the attacks that had started earlier Friday morning in other parts of the world. As a result, the number of infection detections plateaued dramatically in the hours following the registration. It had no effect on WCry infections that were initiated through earlier campaigns.

 

 

Edited by ytwrecords
  • Upvote 1
Posted

Mie mi se pare destul de exagerat si chiar as zice umflat subiectul...

Totusi ce companie care se respecta tine date pe calculatoarele angajatilor ? Toate datele sunt tinute pe server, angajatii doar interogheaza serverul....

Ok, s-au compromis cateva calculatoare, dar pana la anunturile apocaliptice care apar pe toate site-urile de stiri mi se pare cale lunga.

  • Upvote 2
Posted (edited)
4 hours ago, cretu_dan said:

Este semnalat si in Romania?

http://www.digi24.ro/stiri/economie/companii/dacia-mioveni-afectata-de-atacul-informatic-wannacry-723426

O multime de companii/institutii folosesc computere vechi cu xp, pentru introducere/prelucrare date, stocuri, etc, care, desi nu sunt critice, pot opri/intarzia productia, procesele tehnologice,  etc. Dupa multi ani, este primul patch de securitate, lansat de microshit si pentru windows xp, la cateva ore de la atac. Oare de ce? :-/:))

Edited by Sithalkes
  • Upvote 4
Posted

Parca nu era si asa destul de monitorizat netul, sa vezi acum. Cauza si efect, ambele fabricate artificial.

In America au dat lege ptr vanzarea istoricului de cautare al utilizatorului, care da mai mult :))

Cine a ajuns sa ne conduca, ai de plm ce timpuri traim..

 

fo24lOP.jpg

Ransomware_bahn-6c45932c92eaac7d.png

 

59164f17c4618857778b4613.jpg

 

  • Upvote 1
Posted

Se poate spune ca se foloseste cyberspatiul pentru un razboi de control al informatiei. Se zice ca al treilea razboi mondial va incepe in reteaua internet, de aceea se investeste puternic in securitate informatica si se dau miliarde catre serviciile speciale. Aici este clar o metoda " Problema - Reactie - Solutie" . Se genereaza o problema  , se propaga rapid o propaganda de haos , iar apoi se va veni cu solutia : de nevoia de secutitate si controlul asupra informatiei ..........Hackerii de obicei ataca pentru anumite venituri sau informatii tinte "usoare". Atacarea la nivel inalt a institutiilor si marile companii, miroase a implicare din partea serviciilor .......Se cauta tot mai mult ca sa se controleze anumite segmente strategice din reteaua mondiala, chiar cu incalcarea regulilor sau a legilor.........Este un inceput de CYBERWAR.......

Quote

 

 

  • Upvote 2
  • Active Members
Posted
5 hours ago, Sithalkes said:

http://www.digi24.ro/stiri/economie/companii/dacia-mioveni-afectata-de-atacul-informatic-wannacry-723426

O multime de companii/institutii folosesc computere vechi cu xp, pentru introducere/prelucrare date, stocuri, etc, care, desi nu sunt critice, pot opri/intarzia productia, procesele tehnologice,  etc. Dupa multi ani, este primul patch de securitate, lansat de microshit si pentru windows xp, la cateva ore de la atac. Oare de ce? :-/:))

 

 

Patch-ul pentru problema aia a fost lansat acum aproape doua luni, timp suficient pentru companii sa il aplice.

  • Upvote 2
Posted
1 hour ago, piticut29 said:

Se poate spune ca se foloseste cyberspatiul pentru un razboi de control al informatiei. Se zice ca al treilea razboi mondial va incepe in reteaua internet, de aceea se investeste puternic in securitate informatica si se dau miliarde catre serviciile speciale. Aici este clar o metoda " Problema - Reactie - Solutie" . Se genereaza o problema  , se propaga rapid o propaganda de haos , iar apoi se va veni cu solutia : de nevoia de secutitate si controlul asupra informatiei ..........Hackerii de obicei ataca pentru anumite venituri sau informatii tinte "usoare". Atacarea la nivel inalt a institutiilor si marile companii, miroase a implicare din partea serviciilor .......Se cauta tot mai mult ca sa se controleze anumite segmente strategice din reteaua mondiala, chiar cu incalcarea regulilor sau a legilor.........Este un inceput de CYBERWAR.......

 

A inceput razboiul.

Propun sa ne echipam si sa intram si noi.

Tin_foil_hat_2.jpg

  • Upvote 8
Posted (edited)
1 hour ago, adicode said:

Mr. Robot real life :-))

 

"Gândiţi-vă cum ar intra cineva în datele voastre de la ANAF şi fie v-ar şterge datoriile"

http://www.zf.ro/business-hi-tech/spune-unul-dintre-cei-cunoscuti-hackeri-buni-romania-atacul-cibernetic-acum-inainte-asteptati-rau-ganditi-ar-intra-cineva-datele-anaf-fie-v-ar-sterge-datoriile-fie-vi-le-ar-mari-16299877

 

Eu as fi fericit daca ar reusi sa intre si sa-mi stearga datoria de la intretinere :)) dar... le mai trebui vreo 50 de ani ca sa se faca trecerea de la hartie la online.

Edited by tjt
  • Upvote 3

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...