Eddig csak zsarolásra használták, de egyre több extra kiegészítő funkciót kap. Hitelesítő adatokat is lehet vele lopni. Fontosabb célpont lett a Veeam adatbázisa.

Jelentősen bővítették a Noberus zsarolóvírus fegyvertárát. A Symantec Threat Hunting Team szerint így a kiberbűnözők – felhasználva az ExMatter adatszűrő malware és az Eamfo adatszivárogtató eszközök képességeit – a Veeam backup SQL adatbázisából is képesek kinyerni hitelesítési adatokat.

Tíz éve tartják rettegésben a szervezeteket

A fejlesztések mögött egy Coreid néven emlegetett bűnözői csoport áll, amely RaaS (ransomware-as-a-service) szolgáltatásokra szakosodott. Az intenzív fejlesztés a kutató szerint azt jelenti, hogy a Noberusszal hosszabb távon is komoly támadófegyverként kell számolniuk a szervezeteknek.

A Coreid a jelenleg működő egyik legveszélyesebb és legaktívabb zsarolóprogram-fejlesztő csapat, vélik a Symantec munkatársai. A csapat idén jubilálhat: tíz éve bukkantak a nyomára a biztonsági szakemberek. A Coreid első jelentős akciója az ún. Carbanak-ügy volt. Bankokból loptak összesen legalább egymilliárd (!) dollárt. 2018-ban ugyan letartóztatták a banda néhány tagját, de akiket nem sikerült elkapni, gyorsan irányt váltottak, és újra felépítették kétes üzletüket. (Egyes kutatók szerint közvetve a Colonial Pipeline elleni támadásban is lehetett szerepük.)

"Alapterméküket", a Rust nyelven írt Noberus zsarolóprogramot tavaly novemberben észlelték először. (A Rust a kiberbűnözők között is egyre népszerűbb lesz keresztplatformos jellege miatt.) Számos operációs rendszeren és környezetben képes fájlokat titkosítani. A Coreid úgy reklámozza, hogy kiválóan működik Windows, VMware ESXi, Debian Linux környezetben, valamint ReadyNAS és Synology tárolórendszereken. Emellett folyamatosan fejlesztik, hogy megőrizze kiemelkedő hatékonyságát. És valóban hatékony: az FBI áprilisban kiadott egy figyelmeztetést, amely szerint világszerte legalább 60 szervezetet támadott meg a Noberus (ezek észlelt, de sikertelen támadások), de az áldozatok száma valószínűsíthetően ennek többszöröse.

Zsarolás és adatlopás

Az ExMattert megjelenése az arzenálban arra utal, a Coreid csapatnak egyre fontosabb módszere az adatlopás és zsarolás kombinálása. Az adatszűrő eszközt szintén alaposan továbbfejlesztették az elmúlt évben, hogy még hatékonyabban támogassa az ellopni próbált fájltípusok kiszivárogtatását. Javultak a rejtőzködési képességei is.

Hasonló  fejlesztéseket kapott az Eamfo adatszivárogtató eszköz is, amely a lényegi munkát végzi: csatlakozik a megtámadott szervezet Veeam szoftverének SQL-adatbázisához, és egy SQL-lekérdezéssel ellopja a hitelesítő adatokat. Ezeknek a hitelesítő adatoknak a birtokában aztán a támadók már könnyedén juthatnak magasabb szintű jogosultságokhoz. Így bármilyen ponton is jutnak be a megtámadott hálózatba, onnan bármely rendszerrészhez, és ezzel bármely adathoz hozzá tudnak férni.

És a végére egy slusszpoén: azokban a Noberus-támadásokban, melyekben az Eamfo is szerepet kap, a támadók rendszerint használnak egy teljesen legális eszközt, a GMER-t, ami például innen tölthető le. Ez az öregecske rootkit-szkenner (a BleepingComputer adatbázisában találhatót 2018-ban frissítették utoljára) a zsarolóvírus-csoportok számra kiválóan alkalmas a nyomok eltüntetésére.

Biztonság

Rasszista, gyűlölködő, Hitler-imádó posztokat tolt Musk "javított" chatbotja

A Grokot fejlesztő xAI alig győzi törölni az alig néhány nappal ezelőtt továbbfejlesztett generatív algoritmusból áradó szemetet.
 
A kompromittált rendszerek, a dark weben felbukkanó ügyféladatok vagy a zsarolóvírus-kampányok következményei már a vezérigazgatói és pénzügyi igazgatói irodában csapódnak le – jogi, reputációs és üzleti szinten is. Lehet és kell is védekezni ellene.
Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2025 Bitport.hu Média Kft. Minden jog fenntartva.