A giudicare dalla velocità con cui le nuove iterazioni vengono introdotti in libertà, chi è dietro il ransomware GandCrab non ha intenzione di smettere tanto presto. Il ransomware è stato appena aggiornato in due nuove versioni – GANDCRAB v5.0.1 e v5.0.2 GANDCRAB che sono attualmente in corso la distribuzione in tutto il mondo contro le vittime.
CVE-2018-0896 Utilizzato in Ultime GandCrab ransomware Campagne
I ricercatori di sicurezza sono stati in grado di scoprire che gli operatori ransomware stanno utilizzando diverse vulnerabilità note, tra cui il Fallout exploit kit che è stato utilizzato anche nel mese di settembre 2018 campagne. Questo EK è stato portato alla luce dal ricercatore di sicurezza nao_sec alla fine del mese di agosto 2018 ed è ancora una volta parte dell'arsenale di distribuzione degli operatori.
Per quanto riguarda le vulnerabilità, sembra che gli operatori GandCrab utilizzano sempre CVE-2018-0896 che è noto come “Del kernel di Windows Informazioni sulle vulnerabilità Divulgazione”. Ecco la sua ufficiale descrizione:
Il kernel di Windows in Microsoft Windows Server 2008 SP2 e R2 SP1, Windows 7 SP1, Windows 8.1 e RT 8.1, Windows Server 2012 e R2, Windows 10 Oro, 1511, 1607, 1703, e 1709, Windows Server 2016 e Windows Server, versione 1709 permette una vulnerabilità di divulgazione di informazioni a causa del modo in cui gli indirizzi di memoria vengono gestite, aka “Del kernel di Windows Informazioni sulle vulnerabilità Divulgazione”.
analisi per 360 ricercatori totale sicurezza anche rivela che il ransomware è comunemente distribuito attraverso la seguente tecnica:
- fardellatrici Software, o presentandosi come software normale in siti di download;
- Per cracking password deboli;
- Utilizzando l'Apache Tomcat exploit;
- Utilizzando Jboss e WebLogic difetti del server;
- Utilizzando le vulnerabilità Struts.
campagne GandCrab settembre sono stati ampiamente affidamento su Fallout EK. La EK è stato installato in siti web compromessi e stava tentando di sfruttare le vulnerabilità presenti nel sistema il potenziale della vittima. La EK è stato rilevato sfruttando due exploit noti - uno per Adobe Flash Player (CVE-2018-4878) e uno per il motore di Windows VBScript (CVE-2018-8174).
Assicurarsi di leggere i nostri articoli dettagliati su GANDCRAB v5.0.1 e GANDCRAB v5.0.2. Anche diffondere la parola tra i vostri amici e le famiglie che gli operatori ransomware sono ancora una volta a piede libero!