Шифровальщик Samas использует Active Directory для заражения целых сетей

Олег Иванов 10 Марта 2017 - 18:07

Домашние пользователи

Малый и средний бизнес

Windows

Программы-вымогатели

Программы-шифровальщики

...

Шифровальщик Samas использует Active Directory для заражения целых сетей

Специалисты Javelin Networks предупреждают о том, что семейство вымогателей Samas, появившейся около года назад, использует Active Directory для заражения целых сетей.

Samas был впервые замечен в марте прошлого года, а уже к декабрю сообщалось о том, что вымогатели заработали с его помощью 450 000 долларов. Как объясняют исследователи, вредоносная программа ориентирована главным образом на отрасль здравоохранения.

Исследователи говорят, что в отличие от большинства вымогателей, которые сосредоточены главным образом на шифровании локальных файлов, Samas распространяется по всей сети и шифрует файлы на каждом сервере и компьютере. Эта операция выполняется в три этапа: злоумышленники крадут учетные данные домена, определяют цели с помощью сканирования Active Directory и затем перемещаются по сети.

Эксперты Javelin Networks объясняют, что злоумышленники используют обход JBoss JMX-Console Authentication (CVE-2010-0738) для получения доступа к сети. Внутри сети злоумышленник использует различные инструменты для извлечения и кражи учетных данных администратора домена.

Следующим шагом злоумышленники определяют цели для шифрования, осуществляется это путем запроса в Active Directory.

«Active Directory - база данных, в которой хранятся все пользователи, конечные точки, приложения и серверы. Используя утилиту командной строки CSVDE в Windows, злоумышленник может получить необходимую информацию без риска быть обнаруженным» - объясняют исследователи.

Затем злоумышленник может проверить активные хосты, используя команду PING, и установить на них вредоносный модуль с помощью еще одной утилиты Windows - PSEXEC. Поскольку это легитимный встроенный инструмент, который ИТ-менеджеры используют для удаленного управления, атака останется незамеченной.

Следующая главная новость »

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!

Екатерина Быстрова 28 Апреля 2026 - 17:10

Домашние пользователи Корпорации

PlayStation теперь требует подключение к интернету раз в 30 дней

Пользователи PlayStation 4 и PlayStation 5 заметили неприятное нововведение: цифровые копии игр теперь могут требовать подключения к интернету раз в 30 дней для проверки лицензии. Жалобы начали появляться в апреле 2026 года.

Владельцы консолей писали, что система просит подтвердить лицензию на игры из PS Store и подключиться к серверам Sony.

Сначала многие решили, что это ошибка, но служба поддержки PlayStation подтвердила: речь идёт о DRM-проверке, а не о случайном сбое.

Ограничение затрагивает цифровые игры и дополнения, купленные после марта 2026 года. Если консоль больше 30 дней не выходит в Сеть, игра может перестать запускаться до повторного подключения к интернету. После проверки доступ должен восстановиться.

Пользователям это, мягко говоря, не понравилось. Главная претензия, которую привёл NikTek в X, не столько в самом подключении к интернету, сколько в вопросе владения цифровыми покупками. Люди купили игру за свои деньги, но теперь фактически зависят от регулярной проверки на стороне Sony.

Критики считают, что консоль не должна блокировать доступ к уже купленным играм только потому, что пользователь долго был офлайн. Особенно это болезненно для тех, кто живёт с нестабильным интернетом, уезжает надолго или принципиально использует консоль без постоянного подключения.

Вокруг ситуации остаётся много вопросов: будет ли компания менять подход, исправлять его как ошибку или оставит 30-дневную проверку для новых цифровых покупок.

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!