"Лаборатория Касперского": в облачных сервисах Amazon размещаются хакерские программы

"Лаборатория Касперского": в облачных сервисах Amazon размещаются хакерские программы

"Лаборатория Касперского" сообщает об обнаружении образцов вредоносного программного обеспечения, размещенного в вычислительных облачных сервисах Amazon Web Services. В компании говорят, что фактически серверные мощности компании Amazon начали использоваться для распространения вредоносного программного обеспечения. В блоге "Лаборатории Касперского" сказано, что на AWS были размещены хакерские коды, направленные на кражу финансовых данных.



 По словам аналитика "Лаборатории Касперского" Дмитрия Бестужева, размещенное программное обеспечение является довольно сложным и позволяет блокировать некоторые защитные программы во время кражи данных об аппаратном и программном обеспечении. В антивирусной компании говорят, что уведомили о своей находке Amazon еще на прошлой неделе, но в понедельник вредоносное программное обеспечение в облачном сервисе еще было активно.

В компании прогнозируют, что все больше и больше интернет-преступников используют публичные облачные сервисы в своих целях. По некоторым данным, атака на Sony Playstation Network и Sony Online Entertainment была первично запущена именно с Amazon Web Services. Кроме того, ранее ряд специалистов по информационной безопасности показали концептуальную атаку, связанную с использованием мощностей AWS для перебора паролей и взлома ИТ-систем.

"Думаю, что легальные облачные сервисы и дальше будут использоваться киберпреступниками для различных ИТ-атак, так как они очень дешевы для организации. К примеру, на Amazon EC2 арендовать сервер можно от 3 центов до 2,48 долларов в час", - говорит Бестужев.

В случае с последним примером атак, обнаруженный в облаке Amazon код применялся для кражи данных из 9 бразильских и двух международных банковских систем. Также код похищает данные о машине клиента, работающего с кодом. Подобное необходимо, так как некоторые системы онлайн-банкинга привязываются к конкретному оборудованию.

Помимо прочего, код похищает данные Microsoft Live Messenger и цифровые сертификаты eToken. Данная информация в теории может быть использована для дальнейшего проникновения в прочие пользовательские системы, в частности в Gmail.

По мнению "Лаборатории Касперского", за данной атакой должны стоять бразильские хакеры, которые нацелились преимущественно на местных пользователей онлайн-банкинга.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Бесплатный декриптор теперь доступен жертвам шифровальщика ShrinkLocker

Специалисты румынской антивирусной компании Bitdefender выпустили бесплатную утилиту для дешифровки файлов, пострадавших в ходе атак программы-вымогателя ShrinkLocker.

В мае мы рассказывали о кампаниях на тот момент нового вымогателя ShrinkLocker, который использовал легитимную функциональность Windows — BitLocker.

Эксперты Bitdefender недавно провели анализ вредоноса, чтобы вычислить особенности его подхода. В частности, выяснилось, что шифровальщик предоставляет определённое окно для восстановления данных. Поймать этот момент можно сразу после снятия защиты с зашифрованных BitLocker дисков.

Проникнув в систему, операторы ShrinkLocker создают две задачи в планировщике Windows, которые помогают вымогателю запуститься. Первым стартует скрипт Check.vbs, копирующий вредонос на каждую машину в домене жертвы.

Вторая задача подключается спустя два дня, выполняя скрипт для установки шифровщика — Audit.vbs. Далее идёт сбор информации о системе и проверка наличия BitLocker.

ShrinkLocker успешно отрабатывает в системах Windows 10, Windows 11, Windows Server 2016 и Windows Server 2019.

 

Специалисты Bitdefender выявили интересный баг, из-за которого вымогатель не всегда может перезагрузить компьютер, выдавая ошибку «Privilege Not Held». В результате VBScript-задача попадает в бесконечный цикл.

Даже если машину перезагрузит сам пользователь, скрипт не отработает должным образом, а значит, цепочка атаки на этом месте прерывается. В процессе работы вымогатель генерирует случайный пароль, основанный на системной информации.

Далее этот пароль загружается на сервер злоумышленников. Согласно замыслу, после перезагрузки пользователь должен ввести пароль для разблокировки устройства. Помимо этого, ShrinkLocker вносит изменения в реестр ОС, отключает правила встроенного файрвола и удаляет файлы аудита.

Бесплатный дешифратор от Bitdefender лежит здесь.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru