Злоумышленники используют брутфорс-атаку по RDP для распространения вымогателя Bucbi

Исследователи Palo Alto Networks  обнаружили новый вид вымогательского ПО Bucbi, использующий необычный механизм распространения. Если ранее инфицирование ПК осуществлялось при помощи набора эксплоитов или фишинговой рассылки, то сейчас операторы трояна используют брутфорс-атаку по RDP для его распространения.

Вредоносные кампании стали более целенаправленными, отмечают эксперты. Сейчас наибольший интерес для злоумышленников представляют корпоративные сети, использующие уязвимые RDP-серверы под управлением ОС Windows. Для того чтобы заразить ПК, вредонос подключается к ним с помощью соединения «Удаленный рабочий стол» в Windows. В одном из случаев за восстановление информации на сервере преступники требовали выкуп в размере 5 биткойнов (порядка $2,320).

Ряд сообщений на инфицированных системах указывают на связь вымогательского ПО с украинской политической партией «Правый сектор» (запрещена в России). Тем не менее, ряд признаков говорит о причастности российских хакеров к созданию вредоноса.

В конце марта нынешнего года эксперты зафиксировали атаку с использованием Bucbi, осуществлявшуюся с пяти IP-адресов. В данной брутфорс-атаке применялся ряд распространенных имен пользователя, включая логины для PoS-терминалов. По мнению исследователей, изначальной целью атакующих являлись именно PoS-терминалы. Однако, получив доступ к устройствам, злоумышленники изменили тактику, обнаружив, что скомпрометированные терминалы не обрабатывают финансовые транзакции. Список использованных логинов для PoS-терминалов включает FuturePos, KahalaPOS и BPOS.

По словам специалиста Palo Alto Networks Райана Олсона (Ryan Olson), Bucbi – больше, чем простое вымогательское ПО. За два года троян эволюционировал от обычного вредоноса до инструмента, позволяющего искать конфиденциальные данные, проводить рекогносцировку сети и шифровать информацию на целевой системе.