Xwo – вредоносная программа, сканирующая Интернет на уязвимости

Не проходит и месяца без обнаружения новой угрозы. В условиях, когда кибер-устойчивость так важна, любая компания, которая беспокоится по поводу своей корпоративной информационной безопасности, должна прикладывать все усилия, чтобы кибер-атаки не причинили никакого вреда, или, по крайней мере, постараться остановить их и свести к минимуму последствия от них.
Это именно то, что непосредственно относится и к Xwo – новому образцу вредоносной программы, обнаруженной в лаборатории Alien Labs компании AT & T. Эта вредоносная программа ищет в Интернете возможные уязвимости, которые могут быть использованы для проникновения кибер-преступников на веб-сайты и популярные сервисы.

Что делает Xwo ?
Вообще говоря, Xwo имеет три базовых функции для эксплуатации нарушений безопасности,  позволяя их использовать кибер-преступникам в своих корыстных целях.

1. Для начала Xwo активно сканирует огромное количество веб-страниц и онлайн-платформ. Его цель – найти порталы, которые содержат уязвимости, или те, что хранят пароли по умолчанию, которые могут быть легко использованы. Для этого угроза сочетает в себе характеристики вредоносных программ из различных семейств, таких как шифровальщики , ботнеты, черви или вредоносные программы для криптоджекинга.

2. После того как найден уязвимый портал, то в отличие от многих других техник, данная вредоносная программа действует комплексно. Например, среди всего прочего она также собирает информацию об учетных записях, пароли для защищенных сервисов, резервные копии, после чего отправляет всю эту информацию на сервер управления через HTTP POST-запрос.

3. Кибер-преступники на своем сервере могут хранить всю информацию и получать к ней доступ, а также выполнять свои собственные кибер-атаки. Во многих случаях их основная цель – это перенаправлять трафик с известных порталов на вредоносные домены (как правило, в зоне .tk), через которые можно осуществлять кражу информации в максимально возможных объемах. Если у них получается это сделать, они могут даже запросить плату за восстановление украденных данных.

Кто пострадал от этой вредоносной программы?
Цель Xwo – получать регистрационные данные как можно большего числа пользователей, а это означает, что крупные и популярные порталы являются основной целью кибер-преступников. В списке пострадавших – крупные онлайн-издания и даже несколько компаний из сферы информационной безопасности.

Для этого данная вредоносная программа фокусирует свои атаки на таких сервисах как FTP, MySQL, PostgreSQL, MongoDB, Redis, Memcached, Tomcat, phpMyAdmin, VNC или RSYNC, где были найдены несколько уязвимостей .

Как защититься от Xwo
Существование Xwo – это еще один шаг в развитии кибер-преступлений, а также реальная и явная опасность для всех видов компаний вне зависимости от их типа или размера. Вот почему сетевые администраторы в компаниях, которые могут стать жертвами данной вредоносной программы, должны предпринимать соответствующие меры, если они хотят защитить свою корпоративную информационную безопасность:

1. Безопасные пароли. Компании должны следить за тем, чтобы на внутренних серверах не использовались простые пароли или пароли по умолчанию, а вместо этого использовать разные и сложные пароли. Кроме этого, также следует менять регистрационные данные с определенной периодичностью. Данный совет также применим и к самим пользователям: им следует использовать пароли, не содержащие какие-либо очевидные сочетания символов , которые кибер-преступники могут достаточно легко подобрать.

2. Проактивный мониторинг. Ни одна компания не должна рисковать и слишком поздно обнаружить кибер-атаку или уязвимость. Чтобы помочь в этом, Patch Management осуществляет аудит и мониторинг уязвимостей, а также определяет приоритеты среди обновлений для операционных систем и приложений – причем все эти действия осуществляется через единую облачную консоль управления. Более того, данный модуль способен сдерживать и смягчать атаки, которые эксплуатируют уязвимости, применяя непрерывную политику критических обновлений для  обнаружения любой потенциальной угрозы, даже прежде, чем она станет опасной.

3. Безопасные серверы. Все компании имеют стратегически важные серверы, на которых они хранят разные виды конфиденциальной информации, необходимой для работы их системы. Чтобы предотвратить проблемы, крайне важно, чтобы там, где это возможно, такие серверы не были легкодоступными из Интернета. А где это невозможно реализовать, они, по крайней мере, должны быть максимально устойчивы ко всем видам потенциальных атак.

Дело в том, что кибер-атаки очень часто начинаются не с того момента, когда происходит атака типа brute force: как правило, они начинаются задолго до этого, когда с помощью других доступных инструментов хакеры анализируют возможные уязвимости незаметно, не вызывая подозрений. Вот почему каждая компания должна быть постоянно начеку, пребывая в поисках чего-либо подозрительного. Таким образом, компания сможет проактивно защитить свою корпоративную информационную безопасность, останавливая все виды вредоносных программ, наподобие Xwo, и не позволяя им использовать свои незащищенные учетные данные и сервисы с той целью, чтобы посеять хаос в корпоративных ИТ-системах.




Panda Security в России и СНГ
+7(495)105 94 51, marketing@rus.pandasecurity.com
https://www.cloudav.ru

Panda Security в России и СНГ

Новости и события компании. Информационная безопасность IT-устройств дома, малого и среднего бизнеса, антивирусы.