Tema: Malware

Malware

Vad är malware?

Malware (svenska sabotageprogram) är skadlig programvara som är avsedd att infiltrera och skada eller inaktivera datorer. Det är en kortform som kommer från det engelska begreppet malicious software (svenska=skadlig programvara).

Malware är ett allmänt begrepp som omfattar program som trojaner, virus, maskar, bakdörrar, ransomware, spyware, adware, scareware, botnets och malware som sprids genom säkerhetshål.

Angrepp på klientsidan är en vanlig sårbarhet för många organisationer. Webbläsare och e-postburna malware kampanjer riktar sig till användare genom nätfiske, social ingenjörskonst och exploits. Office-paket från leverantörer som Adobe och Microsoft är vanliga attackytor. Dålig användar medvetenhet och smart social ingenjörskonst leder ofta till att användare samtycker till att skadlig inbäddad logik som macron, javascript, actionscripts och java-applets.

Malware kan utföras på många sätt för att göra mer avancerade attacker med Command and Control (C2) och bakdörrar. Malware har blivit ett allt vanligare och större hot mot företag och problemet med traditionella anti-virus program är att de ofta godkänner malware program.

Det finns olika typer av malware:

Grovt sett går det att kategorisera programmen inom följande områden.

Rootkit malware: Ett Rootkit är en typ av programvara som är både smygande och skadlig. Målet med ett rootkit är att upprätta administratörsnivå (därav beteckningen ”root”) för hackern, vilket möjliggör fullständig kontroll över systemet. Det andra målet med rootkit är att undvika upptäckt av antimalware så att kontroll av systemet kan upprätthållas.Rootkits har normalt förmågan att dölja sin existens och kan vara svårt att upptäcka. Att upptäcka den och ta bort den kan vara  svårt beroende på vilken typ av rootkit som installeras.

Ransomware (sv. utpressningsprogram) är programvara som infekterar och kräver en lösensumma för att släppa greppet om datorn exempelvis WannaCry.

Persistent malware – Omfattar programvara som kommer tillbaka och kan vara svår att radera.

Spyware eller spionprogram som samlar användarnas aktiviteter utan att de är medvetna om det som Pegasus.

Firmware malware – installeras i hårdvara. som system bios, hårddiskar. Ibland måste man göra sig av med hårdvaran för att bli av med hotet.

Keyloggers visar tangenttryckningar exempelvis Ardamax.

Trojaner gömmer sig som kod exempelvis Emotet.

Bots kan lansera en bred flod av attacker exempelvis Echobot.

Fileless malware: gör ändringar i operativsystem som exempelvis Astaroth

Maskar sprids i nätverk genom att de replikerar sig själva exempelvis Stuxnet.

Det finns också Adware och malvertising när man interagerar med online-annonsering exempelvis Fireball.

Destruktiv malware

Destruktiv malware används för att förstöra kritiska tillgångar och data. Detta är exempel på publikationer som innehåller rysk cyber aktivitet, teknisk information och rekommenderade åtgärder. Källa Cisa.gov

Datum publicerat Titel Beskrivning
Mars 1, 2022 ESET Research: IsaacWiper and HermeticWizard: New wiper and worm targeting Ukraine As the recent hostilities started between Russia and Ukraine, ESET researchers discovered several malware families targeting Ukrainian organizations. These destructive attacks leveraged at least three components: HermeticWiper,
HermeticWizard, and HermeticRansom.
Februari 25, 2022 CrowdStrike: CrowdStrike Falcon Protects from New Wiper Malware Used in Ukraine Cyberattacks CrowdStrike Intelligence discovered new destructive malware known as DriveSlayer, and it’s the second wiper to affect Ukraine following the recent WhisperGate. DriveSlayer is digitally signed using a valid certificate and also abuses a legitimate EaseUS Partition Master driver to gain raw disk access and manipulate the disk to make the system inoperable.
Februari 25, 2022 SecureWorks: Disruptive HermeticWiper Attacks Targeting Ukrainian Organizations Secureworks® Counter Threat Unit™ (CTU) researchers investigated reports of disruptive activity that began targeting organizations in Ukraine. These attacks reportedly caused intermittent loss of access to government websites belonging to the Ukrainian Ministry of Foreign Affairs, Ministry of Defense, Security Service, Ministry of Internal Affairs, and Cabinet of Ministers.
Februari 24, 2022 IBM: IBM Security X-Force Research Advisory: New Destructive Malware Used In Cyber Attacks on Ukraine Symantec Enterprise reported a ransomware dubbed as PartyTicket was deployed alongside the HermeticWiper malware. IBM Security X-Force obtained a sample of the PartyTicket ransomware and has provided technical analysis, indicators of compromise, and detections within the PartyTicket section of this blog.
Februari 24, 2022 Broadcom Software: Ukraine: Disk-wiping Attacks Precede Russian Invasion A new form of disk-wiping malware (Trojan.Killdisk) was used to attack organizations in Ukraine shortly before the launch of the Russian invasion. Symantec, a division of Broadcom Software, has also found evidence of wiper attacks against machines in Lithuania. Sectors targeted included organizations in the financial, defense, aviation, and IT services sectors.
Februari 24, 2022 ESET Research: HermeticWiper: New data wiping malware hits Ukraine A number of organizations in Ukraine have been hit by a cyberattack that involved new data-wiping malware dubbed HermeticWiper and impacted hundreds of computers on their networks, ESET Research has found.
Februari 23, 2022 Recorded Future: Second data wiper attack hits Ukraine computer networks  Two cybersecurity firms with a strong business presence in Ukraine—ESET and Broadcom’s Symantec—have reported that computer networks in the country have been hit with a new data-wiping attack.
Februari 23, 2022 SentinelOne: HermeticWiper | New Destructive Malware Used In Cyber Attacks on Ukraine This blog includes the technical details of the wiper, dubbed HermeticWiper, and includes IOCs to allow organizations to stay protected from this attack.
Februari 23, 2022 CISA: New Sandworm Malware Cyclops Blink Replaces VPNFilter In this Advisory, NCSC-UK, CISA, NSA and the FBI report that the malicious cyber actor known as Sandworm or Voodoo Bear is using new malware, referred to as Cyclops Blink. Cyclops Blink appears to be a replacement framework for the VPNFilter malware exposed in 2018, which exploited network devices, primarily small office/home office routers and network-attached storage devices.
Februari 3, 2022 Palo Alto Networks: Russia’s Gamaredon aka Primitive Bear APT Group Actively Targeting Ukraine Given the current geopolitical situation and the specific target focus of Primitive Bear APT group, Palo Alto continues to actively monitor for indicators of their operations. In doing so, they have mapped out three large clusters of their infrastructure used to support different phishing and malware purposes. These clusters link to over 700 malicious domains, 215 IP addresses and over 100 samples of malware.
Januari 28, 2022 CrowdStrike: Lessons Learned From Successive Use of Offensive Cyber Operations Against Ukraine and What May Be Next This blog evaluates major disruptive events against Ukrainian interests in the past and attempts to forecast likely forms and outcomes of future Russian operations within the region.
Januari 15, 2022 Microsoft: Destructive malware targeting Ukrainian organizations Microsoft Threat Intelligence Center (MSTIC) has identified evidence of a destructive malware operation targeting multiple organizations in Ukraine. This malware first appeared on victim systems in Ukraine on January 13, 2022.

Malware från Advanced Persistent Threat (APT) groups

Hur ska du skydda dig?

Malware och tips hur du skyddar dig på bästa sätt från sabotageprogram med antimalware.

– Var alltid försiktigt att klicka på länkar i mail och okända webbplatser

– Använd antivirusprogram

– Var extra försiktig att ladda ner program som du inte känner till är säkra

– Använd inte administrationskonton i onödan

-.Uppdatera och se till att du alltid har de senaste versionerna av programvaran

Worm charming är en sport och använder en serie av YARA regler
Ladda ner

Malware remover

Det bästa skyddet är att inte ladda ner misstänkta mail eller bilagor och att ha webbplatsen uppdaterad med de senaste programvarorna.

Programvara som tar bort malware kallas för malware remover eller anti malware – med traditionella antivirus kan du komma långt ifall de har signatur-filer. Däremot kan det vara svårt att upptäcka helt nya malware som använder zero-day kod.

En av de mest kända programvarorna är Malware Bytes Anti-Malware.

Malware Analysis Tools

I takt med att cyberhoten blir alltmer sofistikerade, växer behovet av avancerade verktyg för att analysera och förstå malware. För cybersäkerhetsexperter och forskare är kunskap om och användning av dessa verktyg avgörande för att effektivt kunna identifiera, analysera och neutralisera hot. Två  verktyg inom detta område som används av SOC är Cuckoo Sandbox och Zeek Network Security Monitore.

Artiklar om anti-malware och malware remove

Nyheter: Vi tipsar om metoder och anti-malware verktyg som ger dig extra skydd på nätet som malwarebytes och Iobit malware fighter som skyddar mot online hot.