RDP-брутфорс-атаки помогают установить на серверы вымогатель LockCrypt

Олег Иванов 14 Ноября 2017 - 13:53

Домашние пользователи

...

Киберпреступники вторглись на корпоративные серверы с помощью брутфорс-атак на протокол удалённого рабочего стола (RDP), благодаря чему им удалось заразить их новым вариантом вымогателя LockCrypt.

Согласно сообщению, опубликованному в блоге исследователями AlienVault, предприятия в США, Великобритании, Южной Африке, Индии и на Филиппинах подверглись этим атакам и были заражены LockCrypt. Жертвы сообщили о том, что заплатили от 0,5 до 1 биткойна за сервер, что по нынешнему курсу превышает 5 000 долларов США. А одна компания отрапортовала, что для расшифровки трех серверов ей пришлось выплатить 19 000 долларов США.

Как утверждают эксперты, злоумышленники заражали серверы при помощи брутфорс-атак со взломанного почтового сервера.

«Более того, стоит отметить, что нападавшие вручную завершили критически важные процессы для максимального ущерба», — утверждает Крис Доман (Chris Doman), аналитик AlienVault.

LockCrypt шифрует файлы, добавляя к ним расширение .lock. Также он удаляет теневые копии, чтобы исключить возможность восстановления файлов. После завершения процесса шифровки LockCrypt отправляет зашифрованную алгоритмом base64 информацию о зараженной машине на сервер в Иране.

Эксперты отметили, что эти атаки не имеет характеристику таргетированных, серверы заражаются без какой-либо взаимосвязи. Для противодействия брутфорс-атакам, как советуют специалисты, можно использовать сложные пароли и двухфакторную аутентификацию, запрещая входящие RDP-соединения из любого места в интернете и блокируя пользователей с многочисленными неудачными попытками входа в систему.

«Еще стоит отметить один момент – важно быстро обнаружить момент установки вымогателя. Если вы сможете это сделать, есть шанс своевременно предотвратить дальнейшее распространение вредоноса по сети», — добавляет Доман.

Марк Джеймс (Mark James), специалист ESET, утверждает, что лучшая защита - это хорошая политика безопасности:

«Сложные пароли надо использовать всегда, когда речь о серверах. Также я бы порекомендовал регулярно проверять ваши журналы неудачных попыток входа в систему».

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Татьяна Никитина 16 Апреля 2024 - 17:32

Фишинг Мошенничество Онлайн-мошенничество Домашние пользователи F.A.C.C.T.

Мошенники сулят ветеранам ВОВ ко Дню Победы до 300 тыс. рублей

В рунете заработала новая партнерская программа, нацеленная на сбор персональных данных и отъем денежных средств путем обмана. Специально созданные сайты имитируют портал Роскачества и используют тему традиционных выплат ветеранам ВОВ ко Дню Победы.

Способы привлечения посетителей на мошеннические ресурсы разнообразны. По данным F.A.C.C.T., за последнюю неделю фальшивки усилиями участников партнерки собрали около 1500 визитов.

Чтобы получить обещанную «выплату», посетитель вначале должен ввести личные данные, якобы для проверки. Сроки, как всегда в случае мошенничества, ограничены — обычно 1-2 дня, и они регулярно сдвигаются.

После слива персональных данных визитеру предлагают оплатить ту или иную услугу посредника. Как оказалось, «прейскурант» организаторы партнерки прописали в коде мошеннических ресурсов. В итоге платежные реквизиты тоже попадают к аферистам.

«Чтобы усыпить бдительность потенциальных жертв злоумышленники используют название АНО «Роскачество» и вместе с ним громкие названия, к примеру, «Международный компенсационный центр», «официальный сайт уполномоченного подразделения по финансовой защите граждан», — комментирует Евгений Егоров, ведущий аналитик департамента Digital Risk Protection компании F.A.C.C.T. — Ближе к Дню Победу таких ресурсов может быть больше, а злоумышленники будут активнее продвигать ссылки на них».

RDP-брутфорс-атаки помогают установить на серверы вымогатель LockCrypt

Читайте также