Ha sido un largo de agosto y septiembre para el Comodo Amenaza de Inteligencia de Laboratorio, incluyendo un éxito de taquilla descubrimiento acerca de Equifax senior de seguridad y los "líderes"
y el descubrimiento de las 2 nuevo ransomware ataques de phishing en el mes de agosto (-más de los que más tarde).
La última exclusivo es el Laboratorio del descubrimiento de una tarde de septiembre de onda de nuevo ransomware ataques de suplantación de identidad, la construcción de los ataques en descubierto por primera vez por el Comodo Amenaza Laboratorio de Inteligencia de este verano. Esta nueva campaña imita su organización, proveedores e incluso su confianza de oficina copiadora/escáner/impresora de líder de la industria de Konica Minolta. Se utiliza la ingeniería social para involucrar a las víctimas, y está cuidadosamente diseñado para deslizarse más allá de la máquina algoritmo de aprendizaje basado en herramientas del líder de la ciberseguridad proveedores, infectar sus equipos, cifrar sus datos, y extraer un bitcoin rescate. Aquí está el pedido de rescate de la pantalla se ve por las víctimas en el mes de septiembre de 18 a 21, 2017 ataques:
Esta nueva ola de ataques de ransomware utiliza una red de ordenadores zombis (por lo general conectado a la red a través de conocidos Isp) para coordinar un ataque de phishing que envía los correos a la víctima de cuentas. Como con la IKARUSdilapidated ataques a comienzos y finales de agosto de 2017, respectivamente, esta campaña utiliza un "Locky" ransomware carga.
La última exclusivo es el Laboratorio del descubrimiento de una tarde de septiembre de onda de nuevo ransomware ataques de suplantación de identidad, la construcción de los ataques en descubierto por primera vez por el Comodo Amenaza Laboratorio de Inteligencia de este verano. Esta nueva campaña imita su organización, proveedores e incluso su confianza de oficina copiadora/escáner/impresora de líder de la industria de Konica Minolta. Se utiliza la ingeniería social para involucrar a las víctimas, y está cuidadosamente diseñado para deslizarse más allá de la máquina algoritmo de aprendizaje basado en herramientas del líder de la ciberseguridad proveedores, infectar sus equipos, cifrar sus datos, y extraer un bitcoin rescate. Aquí está el pedido de rescate de la pantalla se ve por las víctimas en el mes de septiembre de 18 a 21, 2017 ataques:
Uno de los elementos de la sofisticación aquí es que el correo electrónico incluye el escáner/impresora número de modelo que pertenece a la Konica Minolta C224e, uno de los modelos más populares entre las empresas, los escáneres, impresoras, comúnmente utilizado en europa, América del Sur, América del Norte, Asia y otros mercados mundiales.
Ambas campañas comenzó el 18 de septiembre de 2017, y parecen haber terminado, en efecto, el 21 de septiembre de 2017, pero debemos esperar ataques similares en el futuro cercano.
El cifrado de documentos en nuevos ataques de septiembre de tener una ".ykcol" y la extensión ".vbs" los archivos son distribuidos a través del correo electrónico. Esto demuestra que los autores de malware están en desarrollo y el cambio en los métodos para llegar a más usuarios y eviten la seguridad de los enfoques que utiliza aprendizaje automático y reconocimiento de patrones.
Aquí está un mapa de calor de la primera en el nuevo ataque del 18 de septiembre de 2017, con el "Mensaje de KM_C224e"el tema de la línea seguida por los países de origen de los equipos que se utilizan en las redes de bots para enviar los correos electrónicos:
País | Suma – Recuento De Correos Electrónicos |
Vietnam | 26,985 |
México | 14,793 |
La India | 6,190 |
Indonesia | 4,154 |
Proveedores de internet en general, fueron cooptados fuertemente en este ataque que apunta tanto a la sofisticación del ataque y lo inadecuado de la ciber-defensa en sus extremos y con su propia red y la seguridad del sitio web. Como con el de agosto de ataques, muchos servidores y dispositivos en Vietnam y México fueron utilizados para ejecutar los ataques globales. Aquí está el líder de la gama de los propietarios detectado en el "Mensaje de KM_C224e" ataque:
Rango De Propietario | Suma – Recuento De Correos Electrónicos |
Vietnam Puestos y elecommunications(VNPT) | 18,824 |
VDC | 4,288 |
Lusacell | 3,558 |
Cablemas Telecomunicaciones SA de CV | 2,697 |
Turk Telekom | 2,618 |
Cablevision S. a de.C.V | 2,207 |
El más pequeño de 2 puntas en este mes de septiembre la campaña envía correos electrónicos de phishing con el tema "Estado de la factura" y que parece ser de un proveedor local, incluso con un saludo de "Hola," una petición amable a la vista de los datos adjuntos, y una firma y los datos de contacto de un proveedor ficticio de los empleados. De nuevo, observe cómo familiarizado con el correo electrónico parece
cualquier persona involucrada con el de finanzas o trabajando con proveedores externos:
Cuando el adjunto es hacer clic aparece como un archivo comprimido a ser descomprimido:
Aquí puedes ver un ejemplo de la secuencia de comandos, que es muy distinta a la utilizada en los ataques anteriores en agosto de 2017.
El rescate de la demanda rango de .5 bitcoins a 1 bitcoin en ambos casos nuevos espejos de agosto de ataques. El 18 de septiembre de 2017, el valor de 1 bitcoin equivalía a poco más de $4000.00 Dólares estadounidenses (y 3467.00 de Euros).
Para el 18 de septiembre de 2017 ataque con el "Estado de la factura" línea de asunto, las Américas, Europa, India y el Sudeste de Asia fueron afectados fuertemente, pero África, Australia y muchos, islas también fueron afectados por estos ataques.
El phishing y Troyanos expertos de los Comodo Amenaza Laboratorio de Inteligencia (parte de Comodo Amenaza de los Laboratorios de Investigación) detectado y analizado más de 110.000 casos de correos electrónicos de phishing en Comodo estaciones de trabajo protegidas dentro de los primeros tres días de este mes de septiembre de 2017 campaña.
Los archivos adjuntos se lee en Comodo estaciones de trabajo protegidas como "archivos desconocidos," poner en la contención, y les negó la entrada, hasta que fueron analizados por Comodo tecnología y, en este caso, el laboratorio de los expertos humanos.
El Laboratorio de análisis de correos electrónicos enviados en el "Mensaje de KM_C224e" campaña de phishing reveló este ataque de datos: 19,886 diferentes direcciones IP se utilizan desde 139 código de país distinto de dominios de nivel superior.
El "Estado de la factura" ataque utilizado 12,367 diferentes direcciones IP de 142 dominios de código de país. Hay un total de 255 de nivel superior de código de país dominios mantenidos por la Internet Assigned Numbers Authority (IANA), es decir, ambos de estos nuevos ataques dirigidos a más de la mitad de los estados-nación en la tierra.
"Estos tipos de ataques de utilizar tanto las redes de bots de los servidores y de los individuos con los Ordenadores y las nuevas técnicas de phishing utilizan técnicas de ingeniería social para los trabajadores de oficina y gerentes. Esto permite que un pequeño grupo de hackers para infiltrarse en miles de organizaciones y batir A. I. y de la máquina de aprendizaje dependiente de la protección de extremo de herramientas, incluso los líderes de Gartner reciente Cuadrante Mágico de gartner.", dijo Fatih Orhan, jefe de los Comodo Amenaza Laboratorio de Inteligencia y Comodo Amenaza de los Laboratorios de Investigación (CTRL). "Debido a que el nuevo ransomware aparece como un archivo desconocido, toma un 100% 'default deny' postura de seguridad para bloquear o contienen en el extremo o límite de red; también requiere que los ojos humanos y análisis última instancia, determinar lo que es - en este caso, de nuevo ransomware."
Quiero una inmersión más profunda en el ataque de datos? Compruebe la nueva Comodo Amenaza Laboratorio de Inteligencia del "INFORME ESPECIAL: SEPTIEMBRE de 2017 – RANSOMWARE ATAQUES de PHISHING ATRAER a los EMPLEADOS, RITMO de APRENDIZAJE automático de HERRAMIENTAS (Parte III de la Evolución de la IKARUSdilapidated y Locky Ransomware de la Serie)." El Informe Especial es una de las muchas incluido con la suscripción gratuita a Actualizaciones de Laboratorio en https://comodo.com/lab. Ofrece una cobertura en profundidad de septiembre de 18 a 21, 2017 ola de ataques, con más análisis y con apéndices en los que se incluyen más detalles sobre las fuentes y las máquinas utilizadas en los ataques. Su Laboratorio Actualizaciones de suscripción incluye también las Partes I y II de la "Informe Especial: IKARUSdilapidated Locky Ransomware" de la serie, y también le proporciona con el Laboratorio de la "Actualización Semanal" y "Actualización Especial" vídeos. Suscríbase hoy en comodo.com/lab.