B0r0nt0K заражает серверы Linux и Windows и требует выкуп в $75 000

B0r0nt0K заражает серверы Linux и Windows и требует выкуп в $75 000

Обнаруженный недавно вымогатель B0r0nt0K заражает серверы как на Linux, так и на Windows. Однако поражает в этом случае другое — сумма выкупа, которую злоумышленник требует у своих жертв. За возврат всех файлов в первоначальное состояние киберпреступник просит $75 000 в биткоинах.

Впервые об этом вредоносе сообщил участник форума BleepingComputer, который утверждал, что его веб-сайт, запущенный на Ubuntu 16.04, оказался заражен. Зловред шифровал файлы жертвы, добавляя к ним расширение .rontok.

Пользователь поделился ссылкой на сайт, который злоумышленник использует для оплаты выкупа. Он был размещен в домене https://borontok.uk/. Чтобы попасть на этот сайт, пользователю сначала необходимо ввести свой уникальный идентификатор.

Как рассказал популярный исследователь вредоносных программ Майкл Гиллеспи, B0r0nt0K кодирует зашифрованные данные в base64.

«Имена пострадавших файлов также изменяются: вредонос кодирует имя в base64, далее происходит URL-кодировка, а в конце добавляется расширение .rontok. Вот пример имени зашифрованного файла — zmAAwbbilFw69b7ag4G4bQ%3D%3D.rontok», — говорится в анализе зловреда.

Если пользователь введет свой идентификатор на сайте для оплаты, ему будут предоставлены соответствующие инструкции по оплате выкупа. Эксперты обращают внимание, что злоумышленник, возможно, хочет поторговаться.

В исходном коде сайта исследователи нашли строку «вьетнамский хакер», что может указывать на то, что злоумышленник, стоящий за B0r0nt0K, из Вьетнама.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Защита банкоматов Diebold Nixdorf от атак black box оказалась ненадежной

Исследователи из Positive Technologies выявили уязвимости в банкоматах Wincor линейки Cineo (торговая марка принадлежит концерну Diebold Nixdorf). Как оказалось, их можно заставить выдать наличные, подав команду с внешнего устройства, — невзирая на защиту от подобных атак.

Проверка показала, что встроенную защиту от атак типа black box (сквозное шифрование управляющего трафика) можно обойти, подменив прошивку контроллера диспенсера. При наличии доступа к USB-порту искомый результат — принудительную выдачу наличных — можно получить за несколько минут.

Пробная атака, проведенная в лабораторных условиях, состояла из трех этапов: подключение стороннего устройства к банкомату, загрузка устаревшей и уязвимой прошивки, эксплуатация уязвимостей для получения доступа к содержимому кассет.

«На популярном сайте объявлений был куплен такой же контроллер, управляющий выдачей, какой установлен в серийных ATM Wincor, — рассказывает Владимир Кононович, старший специалист отдела PT по безопасности промышленных систем управления. — Найденные в контроллере ошибки в коде и старые ключи шифрования дали возможность подключиться к ATM с помощью собственного компьютера (как в случае с классической атакой black box), обойти шифрование и произвести выдачу наличных».

Проблема актуальна для Wincor Cineo с диспенсерами RM3/CRS и CMD v5 (CVE-2018-9100 и CVE-2018-9099 соответственно). Избавиться от нее можно обновлением прошивки, запросив последнюю версию у производителя банкоматов. Вендорам также рекомендуется включить физическую аутентификацию для оператора во время установки встроенного ПО.

Обе уязвимости были обнаружены и поставлены производителю на вид более трех лет назад. Компания Diebold Nixdorf заявила, что проблема уже устранена, поэтому авторы находок решили опубликовать свое исследование. Результаты будут также представлены 29 октября на конференции по безопасности аппаратных решений Hardwear.io, проходящей на этой неделе в Нидерландах.

В 2018 году специалисты Positive Technologies помогли избавиться от похожей уязвимости другому крупному производителю банкоматов — NCR. Этот вендор проявил большую оперативность и залатал брешь в сжатые сроки.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru