Ransomware atakuje cel małych i średnich firm za pośrednictwem protokołu pulpitu zdalnego

Computer Security News

Sophos naukowców ostrzegał o serii ataków ransomware wobec małych i średnich firm za pośrednictwem protokołu pulpitu zdalnego (RDP).

Zdaniem ekspertów hakerzy nadużycia hasła tygodnia jako typowy problem z ich ataki. Po zarządzanie crack i RDP hasła, napastnicy można łatwo instalować złośliwe oprogramowanie na systemów firmy, chcąc dostać się zapłaty okupu.

Sophos zespół twierdzi, że odkrywanie portów protokołu RDP do Internetu nie jest trudno w ogóle, i hakerzy można użyć wyspecjalizowane wyszukiwarki takie jak Shodan to zrobić. Po tym przestępcy wykorzystują publiczne lub prywatne narzędzia, aby uzyskać dostęp do wrażliwych maszyny.

Włamywacze używane narzędzie o nazwie NLBrute brute-force drogę do znalezionych systemów poprzez wypróbowanie różnych haseł protokołu RDP. Tak szybko, jak udało im się znaleźć właściwe hasło, hakerzy od razu zalogować się do sieci i tworzenie własnych kont administracyjnych.

W ten sposób Cyberprzestępcy mogą połączyć się z siecią, nawet jeśli zmieniono hasło administratora używane dla początkowego kompromis. “Już mam kopii zapasowej kont, które wykorzystują później, wkraść się w” państwie ekspertów.

Następnie przestępców, Pobierz i zainstaluj niskiego poziomu system szczypanie oprogramowania, takich jak proces Hacker, po czym Wyłącz lub skonfiguruj ponownie aplikacje anty malware. Dodatkowo hakerzy próbują podniesienia uprawnień za pośrednictwem obrażając znanych luk w zabezpieczeniach, łącznie z CVE-2017-0213 i CVE-2016-0099 wad, które Microsoft ma połatany dawno temu.

Hakerzy wyłączyć usługi bazy danych umożliwiają ransomware docelowej bazy danych, należy wyłączyć usługę kopii zapasowej na żywo Windows, o nazwie kopii woluminu w tle i usunąć istniejące kopie zapasowe, aby zapobiec przywracaniu plików docelowych bez płacenia ofiar. Po tym napastnicy wgrać i uruchomienia złośliwego oprogramowania.

Przestępcy zażądał 1 Bitcoin okupu od swoich ofiar. Pomimo faktu, że wiele firm już zostały trafione przez złośliwe oprogramowanie hakerzy Bitcoin portfel pokazuje pasujące zażądał kwota pojedynczej transakcji. Zdaniem ekspertów to oznacza, że albo nie zapłacili ofiar lub negocjowali w niższych płatności.

“Ofiar tego rodzaju ataku są prawie zawsze małych i średnich firm: największych przedsiębiorstw w naszym badaniu miał 120 pracowników, ale większość miała 30 lub mniej,” Sophos zespołu roszczeń.

Aby zabezpieczyć się przed złośliwym oprogramowaniem, firm powinni wyłączyć RDP lub ją chronić, dobrze, jeśli trzeba go używać regularnie. Ponadto należy rozważyć, za pomocą wirtualnej sieci prywatnej (VPN) dla połączeń z poza ich sieci, obok dwa faktor uwierzytelniony (2FA) i zainstalować patche dostępne szybkie.


Leave a Reply

Your email address will not be published. Required fields are marked *