שווקים אפלים?

שווקים אפלים שחורים

בחוות שרתים מרוחקת, בURL שרק מעטים ידעו חיו להם יצורים רעים, חלקם מכרו את הפרטים שלכם לכל דורש, חלקם מכרו גישות לתוך מערכות ממשלתיות ובנקים.. 

מפעילי כופרה הציעו את מרכולתם לכל אפייליטור ומאגרי מידע של ארגוני ענק היה עומד למכירה לכל דורש.

נשמע כמו סיפור אגדות? אז לא, זה במציאות. וזה לא דורש כלום מעבר לדפדפן רגיל.

דארקנט? גוגל כרום עם דארק מוד.

בתמונה מעל תוכלו לראות דוגמא לפורום שכזה ( אחד מיני רבים), לא במעמקי הרשת האפלה ולא באמצעים טכנולוגים מורכבים, דפדפן פשוט וקצת גוגל ונגלה לפנינו עולם אפל יותר.

מה נמכר בפורום שכזה?

*DB (מאגרי מידע)

*פרטים אישיים

*פרטי אשראי

*שמות משתמש וסיסמאות

והיד עוד נטוייה.

לודגמא:

 

למה זה אמור לעניין אתכם?

כאשר אנו נרשמים לאתר \ שירות מסויים הפרטים שאיתם אנו נרשמים נשמרים בשרתים של אותו אתר\שירות.

לא תמיד נוכל לסמוך על האתר\שירות שישמור על רמת אבטחה גבוהה ואנו נכונים לדעת כל פעם מחדש על דליפת מידע מטורפת שכזו או אחרת.

אבל תום, למה זה משנה לנו?

אז ככה, תחשבו על כך שנרשמתם לאתר A, ולאתר B, בשניהם השתמשתם באותם פרטים מזהים: שם משתמש, וסיסמא. 

מאגר המידע של אתר A נפרץ ולכן החשבון שלכם באתר B בסכנה, מדוע?

לפורומים האלו (אומנם לא לרובם) לא דרושה פעולה מיוחדת על מנת להיכנס ולרכוש את המידע שלכם.

תחשבו על הבחור הנחמד שחוגג על חשבונכם על האשראי או לחילופין על ההאקר שמשתמש בחשבון VPN שלכם כדי לבצע תקיפה ולהכתים את המחשב שלכם במקום את הרשת שלו.

 

אז מה כן אפשר לעשות?

לשים את הגלימה, לקחת את הלפטופ ולצאת להילחם במקור! 

לא.. זה לא התפקיד שלנו, לפחות לא בסיפור הזה.

התפקיד שלנו זה לעזור לכם להישאר בטוחים ככל האפשר כי איומים? תמיד היו ותמיד יהיו.

1)הירשמו עם פרטים שונים וסיסמאות שונות לכל אתר או שירות, כן אני יודע שזה מעיק – מנהל סיסמאות יהיה החבר הכי טוב שלכם מעכשיו.

2)החליפו סיסמא כל 90 ימים! לא זה לא מספר רנדומלי זה קו מנחה שישאיר לכם ראש שקט.

3)סריקה, פאטצ', עדכון – סריקה, פאטצ' עדכון, והכל? בפיג'מה. סתם, ברצינות עכשיו – מערכות מועדכנות = פחות חשיפה לאיומים (אל תזכירו את SolarWinds).

4)לשאול, להתייעץ. עולה החשד? הסקרנות מתחילה להתעורר? סימן שהחושים שלכם מתפקדים נכון, אם זה טוב מדי מכדי להיות אמיתי, זה כנראה לא אמיתי, ובדיוק ככה הפרטים שלכם דלפו.

שירותים שכדאי לנו להכיר

https://haveibeenpwned.com/ – כי מה יותר טוב מלקבל מייל בכל פעם שהמייל שלנו היה מעורב בדליפה שכזו?

 

https://www.urlvoid.com – מוניטין זה דבר חשוב, והשירות הזה בודק בדיוק אותו – השירות הזה ישווה את הURL (כתובת האתר) אל מול רשימות שונות (רשימות של Blacklisting, Spamming וכדומה), בסיום הסריקה תוכלו לקבל אינדקציה האם בכלל כדאי לכם להמשיך לגלוש לאתר החשוד. שבמקרה קיבלתם אליו לינק במייל.

*שימו לב שהכתובות שאתם סורקים כאן – מועברות בדרך כזו או אחרת לחברות אבטחה.

 

https://urlhaus.abuse.ch/browse

URLhaus פותח במטרה לשתף כתובות אתרים זדוניות המשמשות להפצת תוכנות זדוניות. בדיוק התוכנות שגונבות לכם את הפרטים.

איתו תוכלו להשוות URL ולדעת האם הוא דווח בעבר והאם יש קישור לנוזקה מוכרת.

https://any.run

לא בטוחים שאתם רוצים לגשת לכתובת שהרגע קיבלתם? אין לכם זמן ידע או רצון להפעיל מכונה וירטואלית ולהתחיל לחקור?

שירות אחד מיני רבים אבל בהחלט נוח – Anyrun.

שימו לב שכל עוד הנכם לא במנוי בתשלום – הסריקות שלכם פומביות לכולם ולכן יש להיזהר לא לחשוף מידע שלא תרצו.

אך המערכת של Anyrun תדע לנתח את ההתנהגות, ההליכים שנפתחים, ולתת לכם נקודת מבט על האתר\תוכנה שאתם מנסים לבחון ולדעת האם היא זדונית.

 

עד כאן להפעם, אשמח לקבל פידבקים ולדעת על איזה עוד נושאים תרצו שאכתוב, תוכלו לשלוח מייל ל tom@cyber-space.co.il 🙂


סופה של Emotet

סופה של ​ Emotet

Emotet?

רשת אמוטט פעלה במשך שנים כרשת הפצה לנוזקות ותפקידה בהפצה הוא לקבל אחיזה ראשונה במחשבים.
הרשת הייתה מפיצה מסמכים שבפעלתם מריצים קוד.
אותו קוד היה גורם לפעולות שונות במחשב והיה משתנה מפעם לפעם משום שהשיטות היו נלמדות על ידי מוצרי אבטחה וחוקרי סייבר.
לאחר שאותו קוד הצליח לרוץ במחשבים הוא ניסה להשיג את המטרה שלשמה קבוצות תקיפה אחרות שילמו לקבוצת התקיפה emotet והיא הורדה והפעלה של הנוזקה שלהם.

ביורופול כינו אותה "אחד הרשתות המשמעותיות ביותר בעשור האחרון" ואחד "פותחי הדלתות" העיקריים של מערכות מחשוב ברחבי העולם.

"לאחר שהגישה הבלתי מורשית הזו התבססה, נמכרו גישות אלו לקבוצות פשע בכדי לפרוס פעילויות בלתי חוקיות נוספות כגון גניבת נתונים וסחיטה באמצעות תוכנות כופר".

תחילה של emotet הייתה כסוס טרויאני בנקאי, שנועד לרגל אחר מחשבי הקורבנות ולגנוב פרטי התחברות.

הקורבנות יקבלו מסמך וורד חשוב ככל הנראה אשר ימשוך את תשומת ליבם.

כאשר הוא נפתח, הוא יבקש מהם ללחוץ על כפתור "Enable Content" – ובכך לאפשר הרצה של פקודות מאקרו תכונה לכאורה –  תמימה המובנית במיקרוסופט אופיס שפתחה למעשה את המחשב שלהם בפני תוקפים.

 Ryuk?

EMOTET שימשה כאחד ה Loaderים הגדולים בעולם הפשע ברשת, שכן מפעילי תוכנה זדונית אחרים לדוגמת Ryuk נהנו ממנו.

Loader?

Loaderים הם בדרך כלל השלב הראשון בשרשרת ההתקפה והם מתפשטים במגוון וקטורים נפוצים.  Loaderים אינם מותקנים מראש עם מטענים (Payload) ולרוב הם מורידים אותם מכתובת אתר מרוחקת. 

Ryuk?
על פי הערכות, Ryuk  הרוויחו מעל 150 מיליון דולר  באמצעות פעילות הסחיטה הפלילית שלהם, כך מעריכים החוקרים.

לRyuk אין מצפון, כשמוסדות בריאות עסוקים בטיפול במקרי וירוס כורונים והפצת חיסונים, הוכפלו ההתקפות כנגד מוסדות אלו, והמטרה – כסף. 
 
ידוע כי Ryuk משתמשים בשתי בורסות מטבעות קריפטוגרפיים: Huobi ,ובינאנס.
 
כדי להקשות על עקבות הכסף, Ryuk מקבלים תשלומי קורבנות בביטקוין באמצעות מתווך.
לאחר קבלת תשלומי כופר מהמתווך, Ryuk שולחים את כספי הביטקוין לשירותי הלבנת מטבעות קריפטוגרפיים, אשר מחליפים אותו בכספי פיאט.
 
בהיותם מסוגלים לפעול ללא עונש, פושעי תוכנות כופר הפכו להיות יותר ויותר חסרי רחמים, ומכוונים למגוון רחב של ארגונים, כולל סוכנויות ושירותים ציבוריים, שירותי בריאות ועסקים גדולים, במקרים רבים מפרסמים נתונים רגישים כדי לחזק את דרישות הסחיטה שלהם.
 
Ryuk צברו מוניטין של קשוח בדרישותיהם, ולרוב לא מוכנים לנהל משא ומתן עם הקורבנות.

מעצרים, כי לרע חייב להיות סוף טוב.

גורמים במשטרת באוקראינה הודיעו כי הם עצרו שני אנשים שלטענתם תפקידם היה לשמור על שרתי השליטה של emotet פועלים ללא רבב.

במעצרים נתפסו כספים, מטילי זהב לבן, וחומרה, המון חומרה, הסרטון המצורף חייב להיות ברשימת הסרטונים לצפייה שלכם:

 

יתרה מכך, הבוטנט של נוזקת emotet נתפס על ידי הרשויות וכעת מוזרק Payload שיגרום להסרת הנוזקה בתאריך 25 למרץ 2021:
תמונה יכולה לכלול: ‏‏טקסט‏‏

הסוף, האומנם?

בעוד כי נראה שemotet לא תחזור לבקר בזמן הקרוב, אנחנו עדיין חשופים לאיומי הסייבר רבים, הגברת העירנות הינה חלק בלתי נפרד מסל ההגנה שחייב להיות לכם, יש חשש? אין חשש – קיבלתם קובץ לא ידוע? הודעה שנראת לא תקינה
מוזמנים להעלות את החששות שלכם בקהילה – ואנחנו מבטיחים לסייע.