Gazdaság

A Netwalker zsarolóvírus betekintést nyújt a fenyegetők módszereibe

A Netwalker zsarolóvírussal kapcsolatos fertőzési kampány utáni nyomozás közben a Sophos a támadást végrehajtó bűnözők által használt fájlokra bukkant.

A vírusokat és egyéb fájlokat tartalmazó gyűjtemény számos részletet árul el a támadók módszereiről, melyeket a hálózatok kompromittálására, jogosultságaik magasabb szintre emelésére és a vírus munkaállomásokra való terjesztésére használtak a közelmúltbéli támadásokban.

A Netwalkert terjesztő bűnözői csapat változatos profilú célpontokat támadott meg az Egyesült Államokban, Ausztráliában és Nyugat-Európában. A legutóbbi jelentések arra utalnak, hogy a támadók úgy döntöttek, erőfeszítéseiket nagyobb szervezetekre összpontosítják, mint sem magánszemélyekre.

A Sophos által felfedezett eszköztár megerősíti ezt a feltevést, hiszen vállalati hálózatok rendszergazda hozzáférési adatainak megszerzésére szolgáló programokat is tartalmaz, melyeket Domain Controllerről való szoftverterjesztést alkalmazó eszközökkel kombináltak. Gyakori dolgok egy vállalati hálózatban, azonban ritkák az otthoni felhasználók esetében.

És bár a payload legnagyobb része a Netwalker volt, a Zeppelin Windows zsarolóvírus és a Smaug Linux zsarolóvírus különálló mintáit is megtalálták a kutatók.

Összegzés

A zsarolóvírus támadások napjainkban nem egyszeri események, mint a Wannacry volt 2017-ben. A bűnözők jól megalapozott procedúrákkal és eszköztárral rendelkeznek, melyeket rutinszerűen alkalmaznak. A támadások általában hosszabbak: a támadók napokat (akár heteket is) eltöltenek az áldozatnak jelölt szervezeten belül, alaposan feltérképezve a belső hálózatot, miközben hozzáférési adatokat és más hasznos információt gyűjtenek.

A Sophos kutatás eredményei jó példák a trendre, melyet mindannyian megfigyeltünk a fenyegetések terén. A bűnözők jól megtervezett manuális akciókat szerveznek meg, behatolnak az áldozat rendszereibe, alaposan felderítik őket és kikapcsolják a védelmet, mielőtt végrehajtanák a végső támadást.

A Netwalker zsarolóvírus mögött álló “threat actorok” kevésbé támaszkodnak a saját maguk által készített eszközökre, mint más zsarolóvírus csoportok. Az eszköztár legnagyobb része nyilvános forrásokból lett összegyűjtve. Az ilyen, úgynevezett “grey-hat” alkalmazások használatával spórolnak a fejlesztés idején, mely az eredetiség rovására megy.

Az ehhez hasonló, közvetlenül a támadók taktikáiba és eszközeibe való betekintések ritka lehetőséget kínálnak, hogy meglássuk, mi történik a színfalak mögött. Ez pedig drámai mértékben segíti a védekezőket abban, hogy felkészítsék a védelmüket a támadások korai szakaszai ellen, mielőtt a támadók terjeszteni kezdenék magát a zsarolóvírust.

Mit tartalmaz a bűnözők eszköztára?

Az archívum a fenyegetés mögött álló személyek által használt zsarolóvírus terjesztő csomagok legalább 12 különböző verzióját tartalmazta, illetve még számos más eszközt is:

egy átfogó eszközkészletet, melyekkel felderíthették a célzott hálózatokat,
a jogosultságok szintjét emelő és egyéb exploitokat, melyeket Windows számítógépek ellen lehet használni,
és olyan eszközöket, melyekkel ellophatják, kinyomozhatják vagy kierőszakolhatják az értékes információhoz vezető útvonalat egy gépről vagy egy hálózatról. (Beleértve a Mimikatzet, illetve a Mimidogz és Mimikittenz nevű változatait, utóbbiakat arra tervezték, hogy elkerüljék az endpoint biztonsági megoldás által való felfedezést.)

A szkriptek és exploit eszközök egy részét közvetlenül a Github repositorykból másolták le. Az eszközök egy része ingyenesen beszerezhető Windows segédprogram, mint például az Amplia Security Windows Credential Editorja.

Továbbá a következőket is megtalálták:

a Microsoft SysInternals PsTools csomag egy majdnem teljes gyűjteményét,
az NLBrute egy másolatát (amely brute-force módszerrel próbálja feltörni a jelszavakat),
a kereskedelmi forgalomban kapható TeamViewer és AnyDesk távoli kisegítő eszközeinek telepítőit,
és számos olyan eszközt, melyet a végpontok biztosításával foglalkozó cégek hoztak létre abból a célból, hogy eltávolítsák a saját (vagy más cégek) endpoint biztonsági megoldásait és vírusirtóit a számítógépről.

A betörés részleteinek felderítése

„Nem teljesen egyértelmű, hogy a kampány mögött álló bűnözők hogyan vetik meg a lábukat az általuk célzott hálózaton, azonban a nyomok arra utalnak, hogy a gyakran használt, elavult szerverszoftverek (például a Tomcat vagy Weblogic) jól ismert, részletesen ismertetett gyengeségeit vagy a gyenge RDP jelszavakat használják ki.”

– mondta Szappanos Gábor, a Sophos kiberbiztonsági szakértője.

Az NLBrute nevű brute-force eszközt is megtalálta a Sophos. Az eszköz konfigurációs fájljai azt mutatják, hogy egy előre megadott felhasználónevekből és jelszavakból álló gyűjtemény használatára állították be, melyekkel olyan számítógépek feltörését kísérelték meg, ahol engedélyezték a távoli asztal használatát. Az NLBrute használható olyan támadásokban, melyek célja a hálózatra való behatolás kívülről vagy arra is, hogy laterális hozzáférést szerezzenek más számítógépekhez, miután megvetették a lábukat a hálózaton.

Miután bejutottak az áldozatuk hálózatára, a támadók a jelek szerint a SoftPerfect Network Scannerét használták arra, hogy azonosítsák a nyitott SMB portokkal rendelkező számítógépeket és célpontlistát készítsenek róluk. Később a Mimikatzet, a Mimidogzot vagy a Mimikittenzt használhatták arra, hogy megszerezzék hozzájuk a hozzáférési adatokat.

A megtalált fájlok a bűnözők preferált exploitjainak gyűjteményét is megmutatták. Ezek között a következők szerepeltek:

az EternalDarkness SMBv3 exploit variánsai (CVE-2020-0796),
a CVE-2019-1458 lokális jogosultság exploit Windows ellen,
a CVE-2017-0213 Windows COM jogosultság-növelő exploit, melyet a Google Security Github fiókján publikáltak,
a CVE-2015-1701 “RussianDoll” jogosultság-növelő exploit.

Továbbá megtalálták a dirtycow sebezhetőség ellen használt pokemon exploit firefart variánsának forráskódját is; ez pedig túl sok nevetséges elnevezés egyetlen Linux jogosultság-szint emelő exploitra. A támadók arra sem vették a fáradtságot, hogy megváltoztassák a firefart alapértelmezés szerint megadott felhasználónév értékét, ám ezt máshol még megtehetik.

Az exploitok és hackelésre használt eszközök mellett a támadók összeszedtek egy színes gyűjteményt is, mely olyan szoftverekből állt, melyeket endpoint biztonsági megoldások és antivírusok Windows számítógépekről való eltávolítására terveztek. A gyűjteményükben található eszközök között megtaláltuk az ESET által közzétett AV Remover és a TrendMicro WorryFree Uninstall programokat is.

A zsarolóvírus terjesztése

A támadók a Netwalker zsarolóvírus-t általában egy reflektív PowerShell betöltő szkript használatával terjesztik, amelyet több rétegnyi kódolás véd az egyszerűbb elemzések ellen. A folyamat végén a Netwalker payload betöltődik és végrehajtódik. A végső kártevő egy DLL vagy egy futtatható fájl. A célszámítógépen lévő fájlok titkosításra kerülnek, a felhasználó pedig egy ilyen jellegű üzenetet talál:

Ha ezt a szöveget valamilyen okból a titkosítás vége előtt olvassa, ezt érthető amiatt, mivel a számítógép lelassult,
a szívverése pedig felgyorsult, mivel nem tudja kikapcsolni,
így azt javasoljuk, hogy távolodjon el a számítógépétől és fogadja el a tényt, hogy kompromittálódott.
Az újraindítás/leállítás miatt el fogja veszíteni a fájlokat a visszaállítás lehetősége nélkül.

Minden egyes alkalommal, amikor új szervezet az áldozat, a támadók a Netwalker DLL egy egyedi buildjét használják. Érdekes módon számos Netwalker DLL ugyanazt a létrehozási dátumot tartalmazza a PE headerben. Sőt, az egyetlen eltérés az encrypted blob store resource numberjében található, mely 1337 vagy 31337 lehet. Valószínűnek tűnik, hogy a legtöbb alkalommal ugyanazt a DLL template-et használják és csak ezt a encrypted blobot változtatják meg.

Related Topics:2020 betekintés netwalker sophos zsarolóvírus

Up Next

Újjászületik a magyar vasúti járműgyártás

Don't Miss

Online számálázóval segíti a Budapest Bank csoport a kisvállalkozókat

Gazdaság

Fontos változás az OTP Banknál: októbertől kombinálható lesz az Otthon Start és a falusi CSOK

Az OTP Bank októbertől a falusi CSOK-ot is engedi igényelni az Otthon Start mellé. A támogatás önerőként beszámítható, így nagyobb összegű, kedvezményes finanszírozás érhető el a banktól – vette észre a BiztosDöntés.hu.

Gyakran kevés az Otthon Start önmagában

Bár a kezdeti roham némiképp alábbhagyott, a bankok még mindig élénk érdeklődést tapasztalnak az Otthon Start hitel iránt. Sok igénylőnek azonban nem elég az 50 millió forintos hitelkeret, ezért további hitelek iránt is érdeklődnek.

Az ügyfelek szeretnék a költségeket minél alacsonyabban tartani, ezért az Otthon Startot igyekeznek más támogatott hitellel kiegészíteni. Itt jön képbe a CSOK Plusz, a falusi CSOK és a falusi CSOK hitel, amelyek szintén lakáscélra igényelhető, támogatott konstrukciók, de a Babaváró hitel vagy akár a munkáshitel is, amelyek szabad felhasználásúak.

Mikor jó választás a falusi CSOK?

A falusi CSOK egy vissza nem térítendő lakáscélú támogatás, amely a jogszabályban listázott településeken vehető igénybe. Előnye, hogy önerőként felhasználható, márpedig az önerő előteremtése jellemzően az igénylés legnehezebben teljesíthető feltétele.

Még kedvezőbb a helyzet azok számára, akik 10 százalék önerővel tudnak Otthon Start hitelt igényelni, hiszen a falusi CSOK összege akár 15 millió forint is lehet, ha a házaspár 3 gyermeket nevel vagy vállal.

Otthon Start és falusi CSOK az OTP-nél

Az OTP Banknál a program indulása óta kombinálható az Otthon Start a CSOK Plusszal. Októbertől azonban a falusi CSOK-kal is igényelhetik azok, akik vidéken terveznek házat vásárolni.

Az Otthon Start lakáshitelt harmonizálták a többi támogatott konstrukcióval, így a jogszabály lehetővé teszi a támogatások és támogatott hitelek együttes igénybevételét.

Ennek azonban nem csak az a feltétele, hogy az igénylők mindegyik támogatott hitel és támogatás feltételeinek külön-külön megfeleljenek, hanem az is, hogy a bankoknak legyen kialakított gyakorlatuk az együttes igénylésre. Az OTP Banknál erre októbertől már a falusi CSOK esetében is van lehetőség.

A falusi CSOK nem minden banknál elérhető

A falusi CSOK támogatást, jelenleg négy bank kínálja: az OTP, az MBH, a K&H és az Erste.

Az OTP Banknál az ügyfelek zöme önmagában Otthon Start hitelt szeretne, és csak az igénylők kisebb része szeretné azt más termékkel kombinálni.

Az MBH Bank számos ügyfele érdeklődik a kombinálhatóságról, itt CSOK Plusszal, falusi CSOK-kal és piaci lakáshitellel is kombinálható az Otthon Start.

Az Erste szintén lehetővé teszi az Otthon Start kombinálását más kamattámogatott hitelekkel és támogatással, és tapasztalnak is ilyen irányú érdeklődést az ügyfeleik részéről.

A K&H Bank CSOK Plusz, Babaváró hitel és munkáshitel mellé is ajánlja az Otthon Start hitelt, a további igényekről még gyűjtik az adatokat.

Kinek kell többletforrás?

A bankok szerint sokan keresnek kiegészítést az Otthon Start hitel 50 millió forintja mellé, köztük azonban többségben vannak a budapestiek.

A cél a minél alacsonyabb teljes költség, ezért elsőbbséget élveznek a támogatott megoldások. A CSOK Plusz viszont csak további gyermeket vállaló házaspárok számára elérhető, és a Babaváró hitelhez is bővíteni szükséges a családot. A falusi CSOK támogatáshoz és falusi CSOK hitelhez nem kell további gyermeket vállalni, viszont ezek a konstrukciók csak vidéki ingatlanvásárlók számára elérhetők.

Aki az Otthon Start hitel mellett jogosult a falusi CSOK-ra is, annak érdemes élni a kombináció lehetőségével, hiszen a CSOK támogatáts nem kell visszafizetni.

Hol érdemes igényelni?

Bár a falusi CSOK támogatás kevés banknál elérhető, a jogszabály előírja a bankok számára, hogy akkor is együtt kell működniük az igénylési folyamatban, ha az ügyfél különböző hitelintézeteknél igényli a különböző támogatott konstrukciókat.

Mégis praktikus lehet olyan bankot választani, ahol minden szükséges termék elérhető. Így egyszerűbb az ügyintézés, jobban kihasználhatók a kedvezmények és kevesebb a buktató.

További friss híreket talál az IoTmagazin főoldalán! Csatlakozzon hozzánk a Facebookon is!

Gazdaság

Új szintre lép a Syngenta fenntarthatósági programja Dióskálon

Az idei évtől a dióskáli INTERRA® Farm nemcsak a Syngenta fenntarthatósági kezdeményezéseit bemutató gazdaságként, hanem agronómiai, növényvédelmi és digitális megoldásainak kiemelt kísérleti terepeként is működik tovább.

Plótár István zalai gazdasága több mint egy évtizedes, követésre érdemes tapasztalatokkal szolgál más termelők számára is, amelyekkel fokozhatják versenyképességüket és fenntarthatóan növelhetik jövedelmezőségüket.

A Syngenta idén novemberben ünnepli fennállásának 25. évfordulóját. Negyed évszázados sikertörténete során a termelők igényeit folyamatos innovációval, a helyi viszonyokra és személyre szabott megoldásokkal szolgálta ki. A több évtizedes közös tanulás, tapasztalatszerzés és együttműködés a termelőkkel hazánkban is azt eredményezte, hogy a gazdálkodók immár nemcsak termékeket, hanem komplex technológiai és szakmai megoldásokat kapnak a Syngentától. Olyan gyakorlati tudást, amely kézzel fogható eredményekben, bevétel növekedésben, költségcsökkenésben és fenntarthatóbb mezőgazdasági gyakorlatokban mutatkozik meg.

Világszerte – így Magyarországon is – a termelők embert próbáló kihívásokkal néznek szembe: a klímaváltozás hatásaival, a fogyasztói elvárások növekedésével, a folyamatosan változó szabályozási környezettel, mindezt úgy, hogy a jövedelmezőségük is biztosított legyen. A Syngenta az elmúlt 25 évben a termelés minden lépésében a gazdálkodók mellett állt, a vetőmagok kiválasztásától a precíziós technológiák bevezetésén át egészen a növényvédelmi, biológiai és digitális megoldások alkalmazásáig. A közös cél ma is az, hogy a termelők egészségesebb talajon, kevesebb ráfordítással és kisebb környezeti terheléssel tudjanak termelni, jövedelmezőségük fenntartása mellett.

Jól példázza mindezt a dióskáli Plótár gazdaság, amely 2013-ban csatlakozott a Syngenta fenntarthatósági törekvései keretében létrehozott INTERRA® Farm hálózatához. A Kis-Balaton vízgyűjtő területén található gazdaságban az elmúlt években a hagyományos szántásról fokozatosan átálltak a regeneratív mezőgazdasági gyakorlatokra. Előbb a szántás elhagyásával javult a talaj minősége, csökkent a gépek üzemanyag-fogyasztása és a munkaráfordítás, később a takarónövények alkalmazása révén pedig tovább javult a talaj szerkezete, szervesanyag-tartalma, vízmegtartó képessége és a növények tápanyagfelvétele. A precíziós eljárások – például a változó tőszámú vetés és az optimális tápanyag-kijuttatás – szintén költségmegtakarítást és hozamnövekedést is hoztak.

„A több mint 20 éves együttműködés során a Syngenta támogatásával mindig első kézből tapasztaltam meg az új dolgokat és olyan információkat szereztem, amelyeket a gazdaságomban hasznosítani tudtam. A regeneratív gyakorlatok alkalmazásával és a Syngentával közös kísérletek révén fejlődött a gazdaságom. Ma már lépéselőnyben vagyok; nagyon sokat tanultam már eddig is, és még fogok is”

– összegezte Plótár István, a dióskáli INTERRA® Farm vezetője.

2025-től a dióskáli INTERRA® Farm a Syngenta agronómiai, növényvédelmi és digitális megoldásainak kiemelt kísérleti terepeként működik tovább. Az idei kísérletek során 10 kukorica és 10 napraforgó hibrid esetében vizsgáljuk a növények vitalitását és termőképességét hagyományosan művelt, tarlóba vetett és forgatás nélküli talajon. A kísérletek keretében a Syngenta digitális megoldásait is használjuk, az Interra®Scan nagyfelbontású talajvizsgálati eszköz alkalmazásával például tápanyag-utánpótlási terv készíthető, míg a Cropwise Planting szolgáltatás táblára szóló optimális tőszám ajánlással segíti a hibridek előnyös tulajdonságainak érvényesülését, a gazdaság fenntarthatóságát.

A kísérletek másik iránya a Syngenta kalászos kultúrákban alkalmazott összehangolt termesztési technológiája, a „Minden szem számít” program fejlesztése. Ha kedvezőek a körülmények, és minden kalászon csak egyetlen szemmel több terem, az akár 300-400 kg/hektár hozamnövekedést is jelenthet egy-egy gazdaságban. A program keretében a Syngenta minden támogatást megad a kalászos növények lehető legjobb fejlődéséhez: a vetőmag fejlesztéssel kezdve a legjobb genetikával, optimális növényvédelemmel, innovatív biológiai és digitális megoldásokkal járul hozzá a növények fenntartható termesztéséhez.

További friss híreket talál az IoTmagazin főoldalán! Csatlakozzon hozzánk a Facebookon is!

Gazdaság

Egyre kevesebb a csúszásban lévő adós, miközben kapkodnak a hitelekért a magyarok

Érezhető mértékben javult a júniust megelőző egy évben a lakossági hitelportfólió minősége, és az idei év derekán már csak a teljes tartozás 1,1 százaléka volt 90 napnál nagyobb csúszásban.

Elsőre furcsának tűnhet, de ebben részben pont a megugró új kihelyezéseknek van komoly szerepe – ad magyarázatot a javuló számokra Gergely Péter, a BiztosDöntés.hu pénzügyi szakértője.

Látványosan csökkent az idei év derekáig számolt tizenkét hónapban a 90 napnál nagyobb késedelemben lévő lakossági hitelek aránya: a Magyar Nemzeti Bank adatai szerint június végén mindössze 1,1 százalékot tett ki, ami látványos javulás az egy évvel korábbi 1,5 százalékhoz képest.

Az új hitelfelvevők mindig javítanak a képen

Gergely Péter, a BiztosDöntés.hu pénzügyi szakértője szerint a portfólió tisztulásához két tényező is hozzájárult. Egyrészt a júniust megelőző egy évben 11,6 százalékkal nőtt a lakossági hitelek állománya – és már csak hajszállal maradt el a 12 ezer milliárd forinttól –, másrészt a 90 napnál régebben lejárt tartozások mennyisége látványosan, csaknem 18 százalékkal csökkent – így már nem egészen 132 milliárd forintot tett csak ki.

Mindezek alapján a jóval nagyobbra duzzadó hitelportfólión belül zsugorodott a jelentős csúszásban lévő állomány, ami magyarázza a nagymértékű javulást.

A hitelállomány emelkedése viszont nem csak azért fontos, mert így nagyobb a bázis, amiből ki lehet indulni, hanem azért is, mert az újonnan kihelyezett hiteleket rendszerint jóval pontosabban fizetik az adósok, mint a több éve felvett kölcsönöket.

Ennek pedig nem a kezdeti lelkesedés lelohadása az oka a szakértő szerint, hanem az, hogy az idő előrehaladtával egyre nagyobb a valószínűsége annak, hogy az adós olyan élethelyzetbe kerül, ami megnehezíti, netán végképp lehetetlenné teszi a törlesztést.

Hihetetlen, mennyi hitel ömlött a piacra

Az újonnan kihelyezett hitelekből pedig az év első felében egyáltalán nem mutatkozott hiány, sőt, több meghatározó terméknél is új csúcsokat regisztráltak a szerződések összegénél. Így történt ez például a lakáshiteleknél, amelyeknél a 2024, első felére kimutatottnál közel 26 százalékkal többet, 809,4 milliárd forintnyit helyeztek ki a bankok.

A szintén húzóterméknek számító személyi hiteleknél még ennél is gyorsabban, bő 40 százalékkal emelkedett az új kihelyezések összege. Gergely Péter szerint ezekben a tendenciákban pedig nem is várható változás, leginkább ami a lakáshiteleket illeti: szeptemberben ugyanis elindult az Otthon Start Program, amely révén a piaci kölcsönökénél jóval alacsonyabb, évi legfeljebb három százalékos kamat mellett juthatnak finanszírozáshoz az arra jogosultak.

A lakáshitelesek a legfegyelmezettebbek

A jegybank adatai szerint egyébként a lakáshiteleknél mutat a legszebben a portfólió: itt június végén már fél százalék alatt járt a 90 napon túli késedelemben lévő állomány súlya, ami egyébként még az igen kiváló, 2024 júniusi 0,67 százaléknál is 0,2 százalékponttal jobb arány.

Ennél is szebb képet mutat a január óta elérhető munkáshitel: itt a június végi, 104,6 milliárdos állományból mindössze 87 millió forintnyi volt három hónapot meghaladó késedelemben, ami az akkor hat hónapos múltra visszatekintő konstrukcióra való tekintettel nem is csoda. Ezzel együtt a kamatmentes, támogatott hitelnél aggasztó jel, hogy a 31 és 90 nap közötti csúszásban lévő állomány már júniusra elérte a 2,7 milliárd forintot, ami a BiztosDöntés.hu szakértője szerint nem feltétlenül biztató a folytatásra nézve.

A személyi kölcsönöknél viszont még mindig viszonylag magas, 3 százalékos a három hónapon túl késő hitelek részesedése, igaz, itt is több mint egy százalékpontot sikerült javítani az arányon egy év alatt. A babaváró hitelnél viszont minimálisan ugyan, de nőtt az arány tavaly júniushoz képest: igaz, így is mindössze 0,5 százalékot tett ki.

További friss híreket talál az IoTmagazin főoldalán! Csatlakozzon hozzánk a Facebookon is!