Now Reading
Neue Lösegeldzahlungen zielen aufwärts Führungskräfte ab, Telemedizin – Krebs on Security

Neue Lösegeldzahlungen zielen aufwärts Führungskräfte ab, Telemedizin – Krebs on Security

Neue Lösegeldzahlungen zielen auf Führungskräfte ab, Telemedizin – Krebs on Security

Ransomware-Gruppen gedeihen ständig neue Methoden, um Todesopfer zu infizieren und sie davon zu überzeugen, zu zahlen, wohl wenige kürzlich getestete Strategien scheinen vor allem hinterhältig zu sein. Die erste konzentriert sich darauf, Gesundheitsorganisationen anzusprechen, die Konsultationen obig dies Web feilbieten, und ihnen mit Sprengfallen versehene Krankenakten zum Besten von den „Patienten“ zuzusenden. Die andere beinhaltet die sorgfältige Erledigung von E-Mail-Nachricht-Posteingängen von Führungskräften öffentlicher Unternehmen, um den Oberfläche zu erwecken, dass wenige in Insiderhandel verwickelt waren.

Alex Holden ist Gründer von Hold Security, einer in Milwaukee ansässigen Cybersicherheitsfirma. Holdens Team erhielt Einblick in Diskussionen zwischen Mitgliedern zweier verschiedener Lösegeldgruppen: CLOP (alias „Cl0p“ alias „TA505“) und eine neuere Lösegeldgruppe, traut wie Venus.

Letzten Monat, die US-Gesundheitsministerium (HHS) warnte davor, dass Venus-Ransomware-Angriffe aufwärts eine Schlange von US-Gesundheitsorganisationen abzielten. Venus wurde erstmals Zentrum August 2022 entdeckt und ist dazu traut, sich in die publik zugänglichen Remotedesktopdienste jener Todesopfer zu zerhacken, um Windows-Geräte zu verschlüsseln.

Holden sagte, die internen Diskussionen zwischen den Mitgliedern jener Venus-Horde zeigten, dass solche Freundeskreis kein Thema damit habe, Zugang zu Opferorganisationen zu erhalten.

„Die Venus-Horde hat Probleme, getilgt zu werden“, sagte Holden. „Sie zielen aufwärts viele US-Unternehmen ab, wohl niemand will sie bezahlen.“

Dies könnte verdeutlichen, warum ihr jüngstes Schema darauf abzielt, Führungskräften von Aktiengesellschaften Insiderhandelsgebühren anzuhängen. Venus gab an, kürzlich Heil mit einer Methode gehabt zu nach sich ziehen, für jener eine oder mehrere E-Mail-Nachricht-Posteingangsdateien für einer Opferfirma sorgfältig bearbeitet werden, um News einzufügen, in denen Pläne zum Handel mit großen Mengen jener Aktien des Unternehmens aufwärts jener Grundlage nicht öffentlicher Informationen diskutiert werden.

„Wir imitieren die Korrespondenz jener [CEO] mit einem bestimmten Insider, jener Finanzberichte seiner Unternehmen teilt, obig die Ihr Todesopfer scheinbar an jener Handelszentrum handelt, welches natürlich eine Straftat ist und — nachdem US-Bundesgesetzen [includes the possibility of up to] 20 Jahre Kerker“, schrieb ein Venus-Mitglied an verknüpfen Untergebenen.

„Sie sollen solche File erstellen und so in die Maschine(n) einfügen, damit die Metadaten sagen, dass sie aufwärts seinem Computer erstellt wurden“, fuhren sie fort. „Einer meiner Kunden hat es geschafft, ich weiß nicht wie. Zusätzlich zu pst sollen Sie mehrere Dateien an verschiedenen Orten zertrennen, damit die Metadaten angeben, dass die Dateien ab einem bestimmten Zeitangabe und einer bestimmten Zeit unmodifiziert sind und nicht gestriger Tag aufwärts einem unbekannten Computer erstellt wurden.

Holden sagte, dass es nicht reibungslos ist, E-Mails in verknüpfen Posteingang zu pflanzen, wohl es kann mit Microsoft Outlook .pst-Dateien geschehen, aufwärts die die Angreifer notfalls nebensächlich Zugriff nach sich ziehen, wenn sie schon ein Opfernetzwerk kompromittiert nach sich ziehen.

„Es wird gerichtsmedizinisch nicht solide sein, wohl dies schaulustig sie nicht“, sagte er. „Es hat immer noch dies Potenzial, ein riesiger Skandal zu werden – zumindest zum Besten von eine Weile – wenn einem Todesopfer mit jener Veröffentlichung oder Freigabe dieser Aufzeichnungen gedroht wird.“

Dieser Erpresserbrief jener Venus-Lösegeldgruppe. Zeichnung: Tripwire.com

Holden sagte, die CLOP-Ransomware-Freundeskreis habe letzthin ein anderes Problem: Nicht genug Todesopfer. Die von KrebsOnSecurity eingesehene abgefangene CLOP-Kommunikation zeigt, dass die Horde damit prahlte, zweimal siegreich neue Todesopfer in jener Gesundheitsbranche infiltriert zu nach sich ziehen, während sie ihnen infizierte Dateien, die wie Ultraschallbilder oder andere medizinische Dokumente getarnt waren, zum Besten von verknüpfen Patienten zusandte, jener eine Fernkonsultation suchte.

Die CLOP-Mitglieder sagten, eine erprobte Methode zur Infektion von Gesundheitsdienstleistern bestehe darin, Krankenversicherungs- und Zahlungsdaten zu zusammenschließen, um Anfragen zum Besten von eine Fernkonsultation für einem Patienten mit Leberzirrhose einzureichen.

„Prinzipiell verlassen sie sich darauf, dass Ärzte oder Krankenschwestern von kurzer Dauer vor dem Termin die Krankenakte und die Scans des Patienten revidieren“, sagte Holden. „Sie diskutierten zunächst obig Pumpe-Schaltschema-Probleme, entschlossen wohl, dass eine Zirrhose oder Fibrose jener Leber praktisch aus jener Ferne per vorhandener Testergebnisse und Scans diagnostiziert werden könnte.“

Während CLOP wie geldverdienendes Verbands… eine ziemlich junge Organisation ist, sagen Sicherheitsexperten, dass CLOP-Mitglieder aus einer Horde von Threat Actors (TA) stammen, die wie „TA505“ traut ist, die laut MITREs ATT&CK-Elektronischer Karteikasten eine pekuniär motivierte Cybercrime-Horde ist, die seitdem sanguin ist mindestens 2014. „Solche Horde ist dazu traut, Schadsoftware x-fach zu wechseln und globale Trends für jener Verbreitung krimineller Schadsoftware voranzutreiben“, bewertete MITRE.

Im vierter Monat des Jahres 2021 erläuterte KrebsOnSecurity detailliert, wie CLOP dazu beigetragen hat, eine weitere Neuerung zu gedeihen, die darauf abzielt, mehr Todesopfer dazu zu schaffen, eine Erpressungsforderung zu bezahlen: Direkte E-Mail-Nachricht an die Kunden und Partner des Ransomware-Opfers und Warnung, dass ihre Fakten ins Darknet gelangen würden, wenn sie dies Todesopfer nicht überzeugen können verspannt zu zahlen.

Sicherheitsfirma Stolperdraht weist darauf hin, dass dies HHS-Gutachten zu Venus besagt, dass wahrscheinlich mehrere Gruppen von Bedrohungsakteuren die Venus-Ransomware verteilen. Zu den Tipps von Tripwire zum Besten von die Gesamtheit Organisationen zur Vermeidung von Ransomware-Angriffen in Besitz sein von:

  • Sichere Offsite-Backups erstellen.
  • Erläutern aktueller Sicherheitslösungen und Sicherstellen, dass Ihre Computer mit den neuesten Sicherheitspatches vor Schwachstellen geschützt sind.
  • Verwenden Sie schwergewichtig zu knackende eindeutige Passwörter, um vertrauliche Fakten und Konten zu schützen, und anschalten Sie die Multi-Kriterium-Authentifizierung.
  • Verschlüsselung sensibler Fakten wo immer möglich.
  • Kontinuierliche Rekognoszierung und Information jener Mitwirkender obig die Risiken und Methoden, die von Cyberkriminellen verwendet werden, um Angriffe zu starten und Fakten zu stehlen.

Während die oben genannten Tipps wichtig und nützlich sind, ist ein kritischer Cluster jener Ransomware-Zubereitung, jener von zu vielen Organisationen vergessen wird, die Notwendigkeit, verknüpfen Plan zu gedeihen – und dann regelmäßig zu proben –, wie jeder in jener Organisation im Fallgrube einer Ransomware oder eines Datenransoms reagieren sollte Zwischenfall. Dies Drillen dieses Reaktionsplans für Sicherheitsverletzungen ist von entscheidender Gewicht, da er hiermit hilft, Schwachstellen in diesen Plänen aufzudecken, die von den Eindringlingen ausgenutzt werden könnten.

Wie in jener letztjährigen Vergangenheit Don’t Wanna Pay Ransom Gangs erwähnt? Testen Sie Ihre Backups, sagen Experten, dass jener Hauptgrund, warum Ransomware-Ziele und/oder ihre Versicherungsanbieter trotzdem zahlen, wenn sie schon obig zuverlässige Backups ihrer Systeme und Fakten verfügen, darin besteht, dass sich niemand in jener betroffenen Organisation die Sklaverei gemacht hat, im Vorn zu testen, wie tief dieser Datenwiederherstellungsprozess dauern könnte .

„Plötzlich bemerkt dies Todesopfer, dass es ein paar Petabyte an Fakten obig dies Web zurückführen muss, und es erkennt, dass es selbst mit seinen schnellen Verbindungen Trimester dauern wird, all solche Reservekopie-Dateien herunterzuladen“, sagte er Fabian Wosar, Chief Technology Officer für Emsisoft. „Viele IT-Teams zeugen nie nebensächlich nur eine Zählung, wie tief sie aus Sicht jener Datenrate zum Besten von die Wiederherstellung benötigen würden.“

What's Your Reaction?
Excited
0
Happy
0
In Love
0
Not Sure
0
Silly
0
View Comments (0)

Leave a Reply

Your email address will not be published.

Scroll To Top