Djvu ransomware aktivitet i Danmark
Fra mit ferie-eksil ser jeg forøget aktivitet fra ransomware banden Djvu som rammer Danmark. Det afslører SIE Europe pDNS trafik:
Først set Senest set Antal DNS hits
2024-01-10 12:33:28 2024-02-18 07:15:52 12981
C&C server:
habrafa[.]com
PE download:
/files/1/build[1-3].exe
Navneservere:
ns[1-4].dnspad[.]org
Fastflux:
2.180.10[.]7
95.86.30[.]3
109.175.29[.]39
175.120.254[.]9
185.12.79[.]25
186.147.159[.]149
187.156.75[.]116
211.53.230[.]67
211.168.53[.]110
211.171.233[.]129
Se geografisk lokation for de servere der fast fluxes til herunder:
Gateway sti: /test2/get[.]php
Filendelse: .lkfr tilføjes alle datafiler, hvor de første 5MB krypteres med AES-256.
Konfiguration: v0852
Anden C&C:
zexeq[.]com
Se komplet diagram med øvrige relationer herunder:
IoCs SHA256 hashes:
93257d41de555eb232a14b5dee9d687a68d0d60797eb10f2a7c5210ebc602978
97457a36124d224e6e95fbfce2e7424c3b302bef6a6ccda9c8b99f6250d0091c
17a47461f5e9131d127b11992ceb649f1be50da7083a9783b24bd0a88062c77c
d96eb80d040cbfd1b4c4ccbba3b05f550cca2a0d9eff5eaed9c1c34084c40bc6
0001d3710f3b3bcb9ba44c7652c6e59429dc883ec19ff7b1ce90c3708fdac20a
0004d851f92bfea425f064b898e7668d84a26e12954785ce0ec3b62ff2e34d46
0006bfbfb7289079984df258d02e78f2eb03f2cd7c316bf1895f4c100e4cba5d