Aktualności

Evil: prosty ransomware, napisany w języku JavaScript

Data publikacji: 18/01/2017, Jarosław Jedynak

hacker-1944688_960_720

Evil: prosty ransomware, napisany w języku JavaScript

Wstęp

Evil jest nową odmianą ransomware, którą pierwszy raz zaobserwowaliśmy ósmego stycznia 2017 roku – wtedy został nam zgłoszony pierwszy incydent z nią związany. Było to wtedy zupełnie nowe zagrożenie i nie było na jego temat żadnych informacji dostępnych publicznie. Nie mieliśmy też żadnych próbek do analizy.

Pierwszą działającą próbkę zdobyliśmy dzień później, dziewiątego stycznia. W tym artykule opiszemy w skrócie naszą analizę i wnioski. Od tamtej porty dostaliśmy relatywnie dużo raportów o infekcji, więc istnieje ryzyko, że ta rodzina stanie się większym zagrożeniem w przyszłości.

Evil nie ma żadnego panelu służącego do deszyfrowania (podobnie jak np. CryptoMix) – zamiast tego dostarczany jest adres email twórców, pod który należy się skontaktować.

Czytaj więcej

Analiza techniczna rodziny CryptoMix/CryptFile2

Data publikacji: 04/01/2017, Jarosław Jedynak

skull and crossbones malware

Kampania

CryptoMix to kolejna rodzina ransomware która próbuje zdobyć pieniądze dla swoich twórcow przez szyfrowanie plików ofiar i wymuszanie na nich okupu za odszyfrowanie ich.
Do niedawna była znana bardziej jako CryptFile2, ale z nieznanych nam powodów została rebrandowana i teraz jest rozpoznawalna jako CryptoMix.
Została zaobserwowana niedawno jako malware serwowane przez Rig-V exploit kit.

Ten malware wyróżnia się na tle innych popularnych odmian, ale niekoniecznie pozytywnie.

Czytaj więcej

Zadanie Capture The Flag w ramach ECSM 2016 – wyniki i rozwiązanie

Data publikacji: 08/12/2016, Mateusz Szymaniec

Na przełomie października i listopada organizowaliśmy dla Państwa konkurs typu Capture The Flag w ramach Europejskiego Miesiąca Bezpieczeństwa Cybernetycznego.

Pierwszy etap zadania rozpoczęło ponad 300 osób, do ostatniego dotarło ponad 60 osób, a trójka najszybszych, którzy przesłali poprawne rozwiązanie zadania to:

    1. Hubert Barc (rozwiązanie nadesłane 3 godziny i 22 minuty po rozpoczęciu konkursu),
    2. Sergiusz Bazański (5 godzin i 34 minuty),
    3. Piotr Florczyk (5 godzin i 37 minut).


Zwycięzcom serdecznie gratulujemy!

Wszyscy chętni, którzy nie wzięli udziału w konkursie mogą nadal sprawdzić swoje umiejętności na stronie https://ecsm2016.cert.pl.

Poniżej przedstawiamy również sposób rozwiązania wszystkich etapów konkursu.
Czytaj więcej

Zadanie Capture The Flag w ramach ECSM 2016 – [AKTUALIZACJA 31 paź]

Data publikacji: 28/10/2016, Mateusz Szymaniec

Na koniec października, czyli wybranego przez Komisję Europejską oraz ENISA miesiąca poświęconego bezpieczeństwu teleinformatycznemu, chcielibyśmy zaprosić Państwa do wzięcia udziału w naszym małym konkursie typu Capture The Flag. W ramach tej akcji mamy do rozdania egzemplarze najnowszej książki pod redakcją Gynvaela Coldwinda oraz Mateusza Jurczyka: Praktyczna inżynieria wsteczna. Autorem jednego z rozdziałów jest jeden z naszych researcherów, Maciej Kotowicz.

Rozwiązanie zadania konkursowego będzie wymagać od jego uczestników wykorzystania umiejętności z zakresu inżynierii wstecznej, kryptografii czy bezpieczeństwa aplikacji internetowych.

Konkurs będzie trwać przez miesiąc od soboty, 29 października, godz. 12:00 do 29 listopada. Do nagrody uprawnione będą trzy pierwsze osoby, które zgłoszą rozwiązanie oraz prześlą w odpowiednim czasie opis rozwiązania zadania.

Opis zadania, wraz z regulaminem, w momencie rozpoczęciu konkursu znajdzie się na stronie ecsm2016.cert.pl.

W razie pytań oraz ewentualnych problemów prosimy o kontakt pod adres [email protected] wstawiając w tytule [ECSM2016].

Aktualizacja, 31. października

Serdecznie miło nam poinformować, że przez pierwszy weekend trwania konkursu wpłynęło do nas aż 7 poprawnych zgłoszeń! Z pierwszą trójką skontaktujemy się wkrótce w sprawie odbioru nagród. Dziękujemy za udział w zabawie oraz zachęcamy pozostałych by nadal próbowali rozwiązać zadanie.
Na przełomie listopada i grudnia opublikujemy dokładny opis rozwiązania.

TorrentLocker: złośliwa faktura za telefon

Data publikacji: 24/10/2016, Paweł Srokosz

Na początku października otrzymaliśmy zgłoszenie o kolejnej kampanii spamowej, wymierzonej w klientów sieci Play i dystrybuującej oprogramowanie ransomware. Rozsyłane maile mają postać fałszywych faktur, z załączonym skryptem JS, który pobiera i uruchamia złośliwe oprogramowanie, znane pod nazwą TorrentLocker (określanym również jako Crypt0L0cker).

Czytaj więcej

Tofsee – modularny spambot

Data publikacji: 16/09/2016, Adam Krasuski

Tofsee, znany również pod nazwą Gheg, to kolejny analizowany przez nas botnet. Jego głównym celem jest rozsyłanie spamu, jednak może on wykonywać także inne zadania. Jest to możliwe dzięki modularnej budowie malware’u – składa się on z głównego pliku wykonywalnego (tego, którym infekuje się użytkownik), który później pobiera z serwera C2 kilkanaście dodatkowych bibliotek DLL rozszerzających działanie kodu poprzez nadpisywanie niektórych wywoływanych funkcji swoimi własnymi. Przykładem takiej DLL-ki może być moduł do rozprzestrzeniania się poprzez postowanie wiadomości na Facebooku i VKontakte (rosyjskim portalu społecznościowym).

Czytaj więcej

Necurs – hybrydowy botnet spamowy.

Data publikacji: 02/09/2016, Adam Krasuski

Necurs to jeden z większych botnetów na świecie – według informacji podawanych na stronie MalwareTech jest to nawet kilka milionów infekcji, z czego średnio kilkaset tysięcy jest aktywnych. Zainfekowane komputery rozsyłają e-maile ze spamem do wielu odbiorców – zwykle stylizowane są na prośbę o poprawienie faktury czy potwierdzenie zamówienia. W ich załącznikach znajduje się skrypty, które po uruchomieniu instalują malware – zazwyczaj Locky, który po infekcji szyfruje pliki użytkownika i żąda za nie okupu. Necurs jest siecią hybrydową – połączeniem modelu scentralizowanego Command and Control, zapewniającego szybkie wydawanie komend do botów, z modelem peer-to-peer, który uniemożliwia wyłączenie całości botnetu poprzez przejęcie pojedynczego serwera. Nie jest zatem zaskoczeniem tak wielki sukces tego malware’u.
Czytaj więcej

12345...1020...