Между 3-м и 4-м кварталами прошлого года средний размер выкупа, требуемого в результате атаки шифровальщиков, и достиг 84 116 долларов США. Тем не менее, некоторые варианты шифровальщиков требуют еще больше, особенно если вредоносная программа нацелена на крупные компании, как в случае с . Эта программа-шифровальщик, нацеленная на корпоративный сегмент, в среднем требует выкуп в размере .
Однако высокие затраты – не единственная опасность, связанная с атакой такого рода: новая, все более распространенная тенденция среди операторов шифровальщиков – это . Таким образом, кибер-преступники крадут данные, которые они могут попытаться продать в том случае, если жертва не заплатит выкуп, - такой вариант развития событий также позволяет более «эффективно» шантажировать жертву. Некоторое время назад корпорация Microsoft предупредила о новом штамме шифровальщика, который сочетает в себе эти две тактики.
PonyFinal : новый шифровальщик с ручным управлением
В конце мая этого года технологический гигант опубликовал серию твитов, в которых корпорация , осуществляющего также кражу данных у своих жертв. Как объясняет Microsoft, этот новый шифровальщик управляется кибер-преступниками вручную, в отличие от большинства других вариантов, которые распространяются автоматически.
Как работает PonyFinal
Чтобы получить доступ к системе своей жертвы, операторы PonyFinal проводят атаку типа brute force на Microsoft Systems Management Server (SMS). Следующий шаг – это внедрение скрипта VBScript, чтобы запустить обратную консоль (reverse shell) PowerShell, которая позволяет злоумышленникам извлекать данные с передачей на свой C&C-сервер управления. На этой стадии атаки злоумышленники также запускают систему удаленного манипулятора, чтобы обойти регистрацию событий.
В некоторых случаях злоумышленники запускают Java Runtime Environment (JRE), т.к. ее запуск необходим для PonyFinal, поскольку он основан на Java. Однако есть основания полагать, что злоумышленники используют информацию, украденную из SMS, чтобы иметь возможность нацеливаться на конечные устройства, где уже установлена JRE. Это означает, что компании, которые уже установили JRE, могут быть «слепы» к этой атаке.
PonyFinal поставляется через MSI-файл, который содержит два bat-файла и полезную нагрузку с шифровальщиком. Файл UVNC_Install.bat создает запланированную задачу под названием "Java Updater" и вызывает файл RunTask.bat, который запускает полезную нагрузку из файла PonyFinal.JAR.
Операторы ждут идеального момента …
Корпорация Microsoft объяснила, что операторы PonyFinal ждут определенного времени и даты, чтобы зашифровать файлы своей жертвы. Как и другие подобные программы-шифровальщики с ручным управлением, операторы PonyFonal выжидают удобного момента для развертывания полезной нагрузки. В случае этот момент был в начале апреля, на пике .
Решение: патчи и мониторинг
Чтобы остановить проникновение PonyFinal в корпоративные системы, корпорация Майкрософт рекомендовала организациям сократить поверхность атаки, обеспечив обновление всех ресурсов, подключенных к Интернету, соответствующими патчами. Это особенно важно для VPN и других инструментов удаленного доступа, которые , чем когда-либо ранее. Кроме того, крайне важно проводить периодические аудиты на предмет поиска неправильных конфигураций и уязвимостей.
и применением соответствующих патчей. Вот почему компания Panda Security предлагает решение для оптимизации процесса обнаружения, планирования и установки патчей с помощью модуля . Данное решение в режиме реального времени обеспечивает видимость ожидающих применения патчей и обновлений, а также программного обеспечения, у которого закончился срок поддержки со стороны производителя (ПО в режиме EoL). Таким образом, вы можете быть уверены, что у вас всегда будут установлены патчи, необходимые для обеспечения безопасности вашей компании.
Корпорация Microsoft также рекомендует проверять активность по подбору паролей в рамках атак типа brute force. Семейство решений непрерывно отслеживает всю активность в ИТ-системе. Решение позволяет останавливать любую подозрительную активность, даже самые сложные кибер-угрозы, прежде чем они могут причинить какой-либо ущерб компании.
PonyFinal, Ryuk и – это лишь некоторые из новых вариантов шифровальщиков, которые в 2020 году вызывают серьезные проблемы в ИТ-системах. Защитите свою организацию от этих и любых других кибер-угроз с помощью пакета информационной безопасности .
Оригинал статьи:
Panda Security в России и СНГ
+7(495)105 94 51, marketing@rus.pandasecurity.com
Panda Security в России и СНГ
+7(495)105 94 51, marketing@rus.pandasecurity.com
