2024 ilikuwa na sehemu yake ya haki ya mashambulizi ya juu ya mtandao, na makampuni makubwa kama Dell na TicketMaster waathirika wa uvunjaji wa data na maelewano mengine ya miundombinu. Mnamo 2025, hali hii itaendelea. Kwa hivyo, ili kuwa tayari kwa aina yoyote ya mashambulizi ya programu hasidi, kila shirika linahitaji kujua adui wake wa mtandao mapema. Hizi hapa ni familia 5 za programu hasidi ambazo unaweza kuanza kujiandaa kuzikabili sasa hivi. Lumma Lumma ni programu hasidi inayopatikana kwa wingi iliyoundwa ili kuiba taarifa nyeti. Imekuwa ikiuzwa hadharani kwenye Wavuti Nyeusi tangu 2022. Programu hasidi hii inaweza kukusanya na kuchuja data kutoka kwa programu zinazolengwa, ikijumuisha kitambulisho cha kuingia, taarifa za fedha na maelezo ya kibinafsi. Lumma inasasishwa mara kwa mara ili kuboresha uwezo wake. Inaweza kuweka maelezo ya kina kutoka kwa mifumo iliyoathiriwa, kama vile historia ya kuvinjari na data ya pochi ya cryptocurrency. Inaweza kutumika kusakinisha programu nyingine hasidi kwenye vifaa vilivyoambukizwa. Mnamo 2024, Lumma ilisambazwa kupitia mbinu mbalimbali, zikiwemo kurasa ghushi za CAPTCHA, mito na barua pepe za kuhadaa ili kupata maelezo ya kibinafsi. Uchambuzi wa Mashambulizi ya Lumma Uchambuzi wa kina wa faili na URL zinazotiliwa shaka ndani ya mazingira ya kisanduku cha mchanga unaweza kukusaidia kwa njia bora kuzuia maambukizi ya Lumma. Hebu tuone jinsi unavyoweza kufanya hivyo kwa kutumia sandbox ya ANY.RUN ya wingu. Haitoi tu uamuzi mahususi kuhusu programu hasidi na hadaa pamoja na viashirio vinavyoweza kutekelezeka lakini pia inaruhusu mwingiliano wa wakati halisi na tishio na mfumo. Angalia uchambuzi huu wa shambulio la Lumma. ANY.RUN hukuruhusu kufungua faili mwenyewe na kuzindua utekelezo Huanza na kumbukumbu ambayo ina kitekelezo. Mara tu tunapozindua faili ya .exe, sanduku la mchanga huweka kiotomati michakato yote na shughuli za mtandao, ikionyesha vitendo vya Lumma. Suricata IDS inatufahamisha kuhusu muunganisho hasidi kwa seva ya C2 ya Lumma Inaunganishwa na seva yake ya amri-na-kudhibiti (C2). Mchakato hasidi unaowajibika kwa kuiba data kutoka kwa mfumo Kisha, huanza kukusanya na kuchuja data kutoka kwa mashine. Unaweza kutumia IOC zilizotolewa na kisanduku cha mchanga ili kuboresha mifumo yako ya ugunduzi Baada ya kumaliza uchanganuzi, tunaweza kuuza nje ripoti kuhusu sampuli hii, iliyo na viashirio vyote muhimu vya maelewano (IOCs) na TTP ambavyo vinaweza kutumika kuimarisha ulinzi dhidi ya uwezekano wa Lumma. mashambulizi katika shirika lako. Jaribu vipengele vyote vya ANY.RUN’s Interactive Sandbox bila malipo kwa jaribio la siku 14 XWorm XWorm ni programu hasidi ambayo huwapa wahalifu wa mtandao udhibiti wa mbali juu ya kompyuta zilizoambukizwa. Kwa mara ya kwanza mnamo Julai 2022, inaweza kukusanya taarifa mbalimbali nyeti, ikiwa ni pamoja na maelezo ya kifedha, historia ya kuvinjari, manenosiri yaliyohifadhiwa na data ya pochi ya cryptocurrency. XWorm huruhusu washambuliaji kufuatilia shughuli za wahasiriwa kwa kufuatilia vibonye, kunasa picha za kamera ya wavuti, kusikiliza sauti, kuchanganua miunganisho ya mtandao, na kutazama madirisha wazi. Inaweza pia kufikia na kudhibiti ubao wa kunakili wa kompyuta, ikiwezekana kuiba vitambulisho vya pochi ya cryptocurrency. Mnamo 2024, XWorm ilihusika katika mashambulizi mengi makubwa, ikiwa ni pamoja na yale yaliyonyonya vichuguu vya CloudFlare na vyeti halali vya dijiti. Uchambuzi wa XWorm Attack Barua pepe za ulaghai mara nyingi huwa hatua ya awali ya mashambulizi ya XWorm Katika shambulio hili, tunaweza kuona barua pepe asili ya hadaa, ambayo ina kiungo cha hifadhi ya Google. Ukurasa wa Hifadhi ya Google wenye kiungo cha upakuaji kwa kumbukumbu hasidi Mara tu tunapofuata kiungo, tunapewa nafasi ya kupakua kumbukumbu ambayo inalindwa kwa nenosiri. Ilifungua kumbukumbu hasidi na faili ya .vbs Nenosiri linaweza kupatikana katika barua pepe. Baada ya kuiingiza, tunaweza kufikia hati ya .vbs ndani ya faili ya .zip. XWorm hutumia MSBuild.exe kuendelea kwenye mfumo Mara tu tunapozindua hati, sandbox hutambua mara moja shughuli hasidi, ambazo hatimaye husababisha kutumwa kwa XWorm kwenye mashine. AsyncRAT AsyncRAT ni trojan nyingine ya ufikiaji wa mbali kwenye orodha. Ilionekana kwa mara ya kwanza mnamo 2019, hapo awali ilisambazwa kupitia barua pepe taka, mara nyingi ikitumia janga la COVID-19 kama chambo. Tangu wakati huo, programu hasidi imepata umaarufu na kutumika katika mashambulizi mbalimbali ya mtandao. AsyncRAT imebadilika baada ya muda ili kujumuisha anuwai ya uwezo hasidi. Inaweza kurekodi kwa siri shughuli ya skrini ya mwathiriwa, kuweka vibonye, kusakinisha programu hasidi zaidi, kuiba faili, kudumisha uwepo wa mara kwa mara kwenye mifumo iliyoambukizwa, kuzima programu za usalama na kuzindua mashambulizi ambayo yanazidi tovuti zinazolengwa. Mnamo 2024, AsyncRAT ilibaki tishio kubwa, ambayo mara nyingi hufichwa kama programu ya uharamia. Pia ilikuwa mojawapo ya familia za kwanza za programu hasidi kusambazwa kama sehemu ya mashambulizi changamano yanayohusisha hati zinazozalishwa na AI. Uchanganuzi wa Mashambulizi ya AsyncRAT Kumbukumbu ya awali iliyo na faili ya .exe Katika kipindi hiki cha uchanganuzi, tunaweza kuona kumbukumbu nyingine iliyo na kitekelezo hasidi ndani. Mchakato wa PowerShell unaotumika kupakua mzigo wa malipo Kulipua faili kunaanza msururu wa utekelezaji wa XWorm, unaohusisha matumizi ya hati za PowerShell ili kuleta faili za ziada zinazohitajika kuwezesha maambukizi. Baada ya uchambuzi kukamilika, kisanduku cha mchanga kinaonyesha uamuzi wa mwisho kwenye sampuli. Remcos Remcos ni programu hasidi ambayo imeuzwa na waundaji wake kama zana halali ya ufikiaji wa mbali. Tangu kuzinduliwa kwake mwaka wa 2019, imekuwa ikitumika katika mashambulizi mengi kutekeleza shughuli mbalimbali mbaya, ikiwa ni pamoja na kuiba taarifa nyeti, kudhibiti mfumo ukiwa mbali, kurekodi vibonye, kunasa shughuli za skrini, n.k. Mnamo 2024, kampeni za kusambaza mbinu zilizotumiwa za Remcos. kama vile mashambulizi ya maandishi, ambayo mara nyingi huanza na VBScript ambayo huzindua hati ya PowerShell ili kupeleka programu hasidi, na kutumiwa vibaya. udhaifu kama vile CVE-2017-11882 kwa kutumia faili hasidi za XML. Uchanganuzi wa barua pepe ya Uhadaa ya Remcos iliyofunguliwa katika Kisanduku Kishirikishi cha Sandbox cha ANY.RUN Katika mfano huu, tumekutana na barua pepe nyingine ya hadaa ambayo ina kiambatisho cha .zip na nenosiri lake. Mchakato wa cmd unaotumika wakati wa msururu wa maambukizo Upakiaji wa mwisho unatumia Amri Prompt na michakato ya mfumo wa Windows ili kupakia na kutekeleza Remcos. Mchanganyiko wa MITER ATT&CK unatoa mwonekano wa kina wa mbinu za programu hasidi Sanduku la mchanga la ANY.RUN hupanga safu nzima ya uvamizi hadi kwa MITER ATT&CK matrix kwa urahisi. LockBit LockBit ni programu ya ukombozi inayolenga vifaa vya Windows. Inachukuliwa kuwa mojawapo ya matishio makubwa zaidi ya programu ya ukombozi, inayochangia sehemu kubwa ya mashambulizi yote ya Ransomware-as-a-Service (RaaS). Asili ya ugatuzi ya kundi la LockBit imeiruhusu kuathiri mashirika mengi yenye hadhi ya juu duniani kote, ikiwa ni pamoja na Royal Mail ya Uingereza na Maabara ya Kitaifa ya Anga ya anga ya India (mnamo 2024). Mashirika ya kutekeleza sheria yamechukua hatua za kupambana na kundi la LockBit, na kusababisha kukamatwa kwa watengenezaji na washirika kadhaa. Licha ya jitihada hizi, kikundi kinaendelea kufanya kazi, na mipango ya kutoa toleo jipya, LockBit 4.0, katika 2025. Uchambuzi wa Ransomware ya LockBit Attack LockBit iliyozinduliwa katika mazingira salama ya sandbox ya ANY.RUN Angalia kipindi hiki cha sandbox, kuonyesha jinsi haraka LockBit huambukiza na kusimba faili kwenye mfumo. Sandbox Interactive Sandbox ya ANY.RUN hukuwezesha kuona uchanganuzi tuli wa kila faili iliyobadilishwa kwenye mfumo Kwa kufuatilia mabadiliko ya mfumo wa faili, tunaweza kuiona ikiwa imerekebisha faili 300 kwa chini ya dakika moja. Dokezo la fidia huwaambia waathiriwa wawasiliane na washambuliaji Programu hasidi pia hutupa dokezo la fidia, linaloeleza kwa kina maagizo ya kurejesha data. Boresha Usalama Wako Madhubuti kwa kutumia Sandbox Interactive Sandbox ya ANY.RUN Kuchanganua matishio ya mtandao kwa umakini badala ya kujibu mara tu yanapokuwa tatizo kwa shirika lako ni hatua bora zaidi ambayo biashara yoyote inaweza kuchukua. Irahisishe kwa kutumia sandbox Interactive ya ANY.RUN kwa kukagua faili na URL zote zinazotiliwa shaka ndani ya mazingira salama ya mtandaoni ambayo hukusaidia kutambua maudhui hasidi kwa urahisi. Kwa kutumia sandbox ya ANY.RUN, kampuni yako inaweza: Kugundua na kuthibitisha kwa haraka faili na viungo hatari wakati wa ukaguzi ulioratibiwa. Chunguza jinsi programu hasidi inavyofanya kazi kwa kiwango cha juu zaidi ili kufichua mbinu na mikakati yake. Jibu matukio ya usalama kwa ufanisi zaidi kwa kukusanya maarifa muhimu ya vitisho kupitia uchanganuzi wa kisanduku cha mchanga. Jaribu vipengele vyote vya ANY.RUN ukitumia jaribio lisilolipishwa la siku 14. Umepata makala hii ya kuvutia? Makala haya ni sehemu iliyochangiwa kutoka kwa mmoja wa washirika wetu wanaothaminiwa. Tufuate kwenye Twitter na LinkedIn ili kusoma maudhui ya kipekee tunayochapisha.
Leave a Reply