Исключительная лаборатория угроз: если ваш копир / сканер звонит, не отвечайте!

Время чтения: 5 минут

ОБНОВЛЕНИЕ И ИСПРАВЛЕНИЕ: Konica Minolta C224e не отправляет вам опасные фишинговые письма. Вредоносные хакеры создали электронное письмо и файл, которые выглядят как законный отсканированный документ с Konica Minolta C224e, однако этот файл не исходит от Konica Minolta C224e и не содержит отсканированного документа. Вы захотите проверить источник электронной почты.

Это был напряженный август и сентябрь для Comodo Threat Intelligence Lab, включая раскрытие блокбастера о старших «лидерах» безопасности и информационных технологий Equifax
и обнаружение 2 новых фишинговых атак вымогателей в августе (подробнее об этом позже).

Последний эксклюзив - открытие Лабораторией волны конца сентября новый вымогатель фишинговые атаки, основанные на атаках, впервые обнаруженных Comodo Угроза Лаборатория этим летом. Эта новейшая кампания имитирует поставщиков вашей организации и даже ваш надежный офисный копир / сканер / принтер от лидера отрасли Konica Minolta. Он использует социальную инженерию для привлечения жертв и тщательно разработан, чтобы ускользнуть от инструментов машинного обучения от ведущих поставщиков кибербезопасности, заразить ваши компьютеры, зашифровать их данные и извлечь выкуп биткойнов. Вот экран с требованием выкупа, увиденный жертвами атак 18-21 сентября 2017 года:

Эта новая волна атак программ-вымогателей использует ботнет из компьютеров-зомби (обычно подключенных к сети через известных интернет-провайдеров) для координации фишинг-атаки, которая отправляет электронные письма на учетные записи жертв. Как и в случае с IKARUS обветшалые атаки в начале и конце августа 2017 года, соответственно, эта кампания использует полезную нагрузку вымогателей «Locky».

Большая из двух атак в этом последнем Locky Ransomware wave представлен в виде отсканированного документа, отправленного вам по электронной почте со сканера / принтера вашей организации (но на самом деле он поступает с внешнего компьютера, контролирующего хакер). Сегодня сотрудники сканируют оригинальные документы на сканере / принтере компании и отправляют их себе и другим по электронной почте в качестве стандартной практики, поэтому это письмо с вредоносным ПО выглядит совершенно невинно, но далеко не безвредно (и определенно не от копировального аппарата Konica Minolta вашей организации / сканер). Насколько безобидно? См. Электронное письмо ниже.

Одним из элементов изощренности здесь является то, что в электронном письме, отправленном хакером, указан номер модели сканера / принтера, который принадлежит Konica Minolta C224e, одной из самых популярных моделей среди бизнес-сканеров / принтеров, обычно используемых в Европе, Южной Америке, Северной Америке. , Азиатские и другие мировые рынки.

Обе кампании начались 18 сентября 2017 года и, по-видимому, фактически закончились 21 сентября 2017 года, но мы все должны ожидать подобных атак в ближайшем будущем.
Зашифрованные документы в обеих новых атаках сентября имеют «.ykcol»И файлы« .vbs »распространяются по электронной почте. Это показывает, что авторы вредоносных программ разрабатывают и изменяют методы для охвата большего числа пользователей и обходят подходы к обеспечению безопасности, которые используют машинное обучение и распознавание образов.
Вот тепловая карта первой новой атаки 18 сентября 2017 года, на которойСообщение от KM_C224eВ строке темы следуют страны-источники машин, используемых в бот-сети для отправки электронных писем:

Интернет-провайдеры в целом активно участвовали в этой атаке, что указывает как на изощренность атаки, так и на недостаточную киберзащиту на их конечных точках, а также с их собственной сетью и решения для безопасности сайта. Как и в случае с августовскими атаками, многие серверы и устройства во Вьетнаме и Мексике использовались для проведения глобальных атак. Вот основные владельцы диапазонов, обнаруженные в атаке «Сообщение от KM_C224e»:

Меньшее из 2-х ответвлений в этой сентябрьской кампании отправляет фишинговые электронные письма с темой «Статус счета-фактуры» и, как представляется, от местного поставщика, даже с приветствием «Здравствуйте», вежливым запросом на просмотр вложения и подпись и обращайтесь детали от вымышленного сотрудника продавца. Опять же, обратите внимание, насколько знакомым выглядит письмо

любой, кто связан с финансами или работает с внешними поставщиками:

При нажатии на вложение оно отображается как сжатый файл, который необходимо распаковать:

Здесь вы можете увидеть пример скриптинга, который сильно отличается от того, который использовался в атаках ранее в августе 2017 года.

Диапазон выкупа от 5 биткойнов до 1 биткойна в обоих новых случаях отражает то, что произошло в августе. 18 сентября 2017 года стоимость 1 биткойна составила чуть более 4000.00 долларов США (и 3467.00 евро).

Для атаки 18 сентября 2017 года с участиемСтатус счетаТем не менее, на Америку, Европу, Индию и Юго-Восточную Азию сильно повлияли, но Африка, Австралия и многие другие острова также пострадали от этих атак.

Эксперты по фишингу и троянским программам из Comodo Threat Intelligence Lab (входит в Comodo Threat Research Labs) обнаружили и проанализировали более 110,000 2017 случаев фишинговых писем на защищенных Comodo конечных точках всего за первые три дня этой кампании в сентябре XNUMX года.

Вложения были прочитаны на конечных точках, защищенных Comodo, как «неизвестные файлы», помещены в хранилище и запрещены для входа, пока они не были проанализированы с помощью технологии Comodo и, в данном случае, лаборатории человеческие эксперты.

Лабораторный анализ писем, отправленных вСообщение от KM_C224eФишинговая кампания раскрыла данные об этой атаке: 19,886 139 различных IP-адресов используются из XNUMX различных доменов верхнего уровня с кодом страны.

"Статус счета”Атака использовала 12,367 142 различных IP-адресов из 255 доменов с кодом страны. В общей сложности XNUMX доменов кодов стран верхнего уровня поддерживаются Управлением по присвоению номеров в Интернете (IANA), что означает, что обе эти новые атаки были направлены более чем на половину национальных государств на земле.

«В этих типах атак используются как бот-сети серверов и персональных компьютеров, так и новые методы фишинга с использованием социальной инженерии для ничего не подозревающих офисных работников и менеджеров. Это позволяет очень небольшой группе хакеров проникнуть в тысячи организаций и победить ИИ и машинное обучение, зависящее инструменты защиты конечных точекдаже те, кто лидирует в недавнем Магическом квадранте Gartner ». сказал Фатих Орхан, руководитель Comodo Threat Intelligence Lab и Comodo Лаборатории исследования угроз (CTRL). «Поскольку новое вымогательское ПО появляется в виде неизвестного файла, для обеспечения безопасности или блокирования его в конечной точке или на границе сети требуется 100% -ное состояние« запрет по умолчанию »; это также требует человеческих глаз и анализа, чтобы в конечном счете определить, что это такое - в данном случае, новое вымогатель ».
Хотите глубже погрузиться в данные атаки? Проверьте новую лабораторию Comodo Threat Intelligence «СПЕЦИАЛЬНЫЙ ОТЧЕТ: СЕНТЯБРЬ 2017 - ФИНАНСОВЫЕ НАБОРЫ RANSOMWARE ПРИКЛЮЧАЮТ СОТРУДНИКОВ, ИНСТРУМЕНТЫ ДЛЯ УЧЕБНЫХ МАШИН БИЛЕТ-МАШИН (Часть III из развивающейся серии IKARUS - обветшалых и Locky Ransomware)«. Специальный отчет является одним из многих, включенных в бесплатную подписку на обновления лаборатории по адресу https://comodo.com/lab, Он содержит подробный обзор волны атак 18-21 сентября 2017 года с подробным анализом и приложениями, которые содержат более подробную информацию об источниках и машинах, использованных для атак. Ваша подписка Lab Updates также включает в себя Части I и II серии «Специальный отчет: IKARUS - обветшалая программа-вымогатель», а также предоставляет вам «Лабораторию»Еженедельный обзор»И« Специальное обновление »видео. Подпишитесь сегодня на comodo.com/lab.

НАЧАТЬ БЕСПЛАТНУЮ ИСПЫТАНИЕ ПОЛУЧИТЕ СВОЙ МОМЕНТ БЕЗОПАСНОСТИ БЕСПЛАТНО

• SEO-контент и PR-распределение. Получите усиление сегодня.
• Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
• Источник: https://blog.comodo.com/comodo-news/threat-lab-exclusive-if-your-konica-minolta-copier-scanner-calls-dont-answer/