Вимагачів атакує цільової малого та середнього бізнесу через протокол віддаленого робочого стола

Computer Security News

Sophos дослідники попередив про серії вимагачів атак проти малих і середніх підприємств через протокол віддаленого робочого стола (RDP).

На думку експертів хакери зловживання паролі тиждень як спільний питання в своїх нападів. Після керуючий тріск і RDP пароль, нападники можна легко встановити зловмисне програмне забезпечення на системах компанії, сподіваючись отримати викуп оплати.

Sophos команда стверджує, що відкриття RDP порти, доступні з Інтернету не важко на всіх, і Хакери можуть використовувати спеціалізовані пошукові системи, такі як Shodan, що робити. Після цього злочинці зловживання державні або приватні інструменти, щоб отримати доступ до уразливі машини.

Нападники використовували інструмент під назвою NLBrute грубої сили свій шлях в знайдених систем, намагаючись різні паролі RDP. Як тільки вони змогли знайти правильний пароль, хакери б негайно увійдіть в мережу і створювати свої власні адміністративних облікових записів.

Таким чином кібер-злочинці можуть відновіть підключення до мережі навіть якщо пароль адміністратора, вони використовуються для початкового компромісу було змінено. “Вони вже отримали резервної копії рахунків, які вони можуть використовувати прони повернутися пізніше,” фахівці державного.

Потім злочинці завантажити та встановити низькорівневий система налаштування програмного забезпечення, такого як процес хакер, після чого вони вимкніть або перенастройте шкідливих програм. Крім того, хакерів намагаються підняти привілеї через зловживання відомі слабкі місця, у тому числі CVE 2017 0213 і CVE-2016-0099 недоліків, які корпорація Майкрософт є латка давним-давно.

Хакери вимкнути бази даних послуги дати вимагачів цільової бази даних, вимкніть жити резервної копії служби Windows під назвою тіньового копіювання тому і видалити наявні резервні копії, щоб запобігти відновлення цільового файлів без сплати жертв. Після цього нападники завантажити та виконати шкідливі програми.

Злочинці зажадали викуп 1 Bitcoin від своїх жертв. Незважаючи на те що багато компаній вже постраждали від шкідливі програми що хакери Bitcoin гаманець показує однієї трансакції зіставлення вимагали суми. На думку експертів це означає, що жертви не сплатили або вони вели переговори нижче виплат.

«Жертви такого удару, майже завжди малих і середніх компаній: найбільший бізнес в нашому розслідування було 120 персоналу, але більшість були 30 або менше, “ на Sophos команда претензій.

Щоб захистити від шкідливих програм, компаній з усіма візовими вимкнути RDP, або захистити її добре, якщо вони повинні використовувати його регулярно. Крім того, вони повинні розглянути питання про використання віртуальної приватної мережі (VPN) для підключення з за межами їх мережі, поряд з двофакторна автентифікація (2FA) та інсталювати доступні патчі швидко.


Leave a Reply

Your email address will not be published. Required fields are marked *