Это не ransomware, но в любом случае может «захватить» Ваш сервер

Это не ransomware, но в любом случае может «захватить» Ваш сервер


На этой неделе мы рассмотрим «вымогателя» (ransomware), который на самом деле не является таковым. И даже не является вредоносной программой. Но он способен «захватить» Ваш сервер.

Несколько дней назад мы видели типичную RDP-атаку через удаленный рабочий стол, которая навела нас на мысль, что она была подобна той атаке, о которой мы рассказывали несколько месяцев назад и которую кибер-преступники использовали для заражения устройств с помощью шифровальщика. Но мы сильно заблуждались.

Прежде всего, потому, что вместо шифрования данных этот «зловред» блокировал рабочий стол с помощью пароля, который жертва не знает. Во-вторых, он не требует выкупа (!) в обмен на ключ или пароль, а скорее стремится как можно дольше удерживать устройство в заблокированном виде, чтобы как можно дольше использовать его для майнинга биткоинов. И, в-третьих, он не использует вредоносные программы как таковые.

После того как хакеры получили доступ к Вашей машине с помощью метода «brute force» (например, в рассматриваемом случае сервер получал 900 попыток в день), хакеры копируют файл под названием BySH01.zip. Он, в свою очередь, содержит следующие файлы:

1. BySH01.exe (исполняемый файл через AutoIt)
2. 7za.exe (легальная программа: хорошо известная бесплатная утилита 7zip)
3. tcping.exe (легальная программа: утилита для выполнения TCP-пингов)
4. MW_C.7z (заархивированный с паролем файл), который содержит:
  • Приложение – легальная программа для «добычи» биткионов
  • Приложение – легальная программа для блокировки рабочего стола Windows
Хакер запускает файл BySH01.exe, и появляется следующий интерфейс:


По сути, приложение для майнинга биткоинов использует этот интерфейс для настройки того, сколько использовать ядер, на какой кошелек отправлять биткоины и пр. После того, как нужные настройки выбраны, хакер нажимает на кнопку «Установить» для установки и запуска приложения по майнингу биткоинов. Приложение называется CryptoNight, и оно разработано для майнинга биткоинов с использованием процессоров.

Затем он нажимает на кнопку Локер, которая устанавливает и запускает приложение по блокировке рабочего стола. Это коммерческое приложение Desktop Lock Express 2, измененное только таким образом, что информация, показываемая в свойствах файла, точно такая же, как у системного файла svchost.exe. Наконец, он удаляет все файлы, использованные для атаки, за исключением CryptoNight и Desktop Lock Express 2.


Desktop Lock Express 2: приложение, используемое хакерами.


Мы обнаружили и заблокировали несколько атак в различных странах. Подобные примеры еще раз показывают, как кибер-преступники используют преимущества слабых паролей, которые можно подобрать с помощью метода «brute force» за определенный период времени. Больше не требуется вредоносной программы, чтобы получить доступ к системе, так что обратите внимание на то, чтобы использовать сложный пароль и защититься  от нежелательных посетителей.

Советы для системных администраторов

В дополнение к использованию решений, подобных Adaptive Defense , которые обнаруживают и предотвращают такой тип атак, приведем пару советов для всех сисадминов, которые вынуждены открывать RDP:

  • Сделайте настройки таким образом, чтобы использовать нестандартный порт. 99,99% злоумышленников отслеживают все Интернет-соединения на TCP и UDP-портах 3389. Они могут отслеживать и другие, но им не обязательно это делать, т.к. большинство сисадминов не меняют эти порты. Те же, кто делает это в сочетании со сложными паролями, заботятся о безопасности корпоративной сети, чтобы хакерам было сложнее заполучить регистрационные данные в разумные сроки с помощью метода «brute force».
  • Отслеживайте неудачные попытки RDP-соединения. Таким образом, можно достаточно легко вычислить атаки типа Brute force, т.к. в этом случае хакеры используют автоматизированные системы, которые осуществляют новые попытки подключения каждые несколько секунд.


Panda Security в России
+7(495)105 94 51, marketing@rus.pandasecurity.com

шифровальщик информационная безопасность хакеры Remote Desktop Protocol rdp кибер-атаки ransomware CryptoNight майнинг биткоинов
Alt text
Комментарии для сайта Cackle

Panda Security в России и СНГ

Новости и события компании. Информационная безопасность IT-устройств дома, малого и среднего бизнеса, антивирусы.