02.06.2020 | Эксперты предупредили о новых атаках с использованием вредоноса PonyFinal |
ИБ-специалисты из Microsoft предупредили компании о новых кибератаках с использованием вымогательского ПО PonyFinal. Первые атаки с использованием PonyFinal были зафиксированы в апреле нынешнего года в Индии, Иране и США. Операторы вредоноса также неоднократно атаковали организации в сфере здравоохранения. Операторы PonyFinal тщательно готовятся к атакам — они взламывают корпоративные сети и вручную устанавливают вредоносное ПО, а не автоматизируют данный процесс. Как отметили специалисты из Microsoft, организациям рекомендуется обратить внимание на процесс осуществления атаки, а не ограничиваться изучением только вредоносного кода. По словам экспертов, в большинстве случаев операторы PonyFinal начинают атаку со взлома учетной записи на сервере управления системами. Преступники с помощью брутфорса получают доступ к учетным записям со слабыми паролями. Получив доступ к серверу, они активируют скрипт Visual Basic, который запускает ПО для сбора и хищения данных. В ходе атаки злоумышленники могут применить подбор учетных данных для протокола удаленного рабочего стола (Remote Desktop Protocol, RDP) и проэксплуатировать уязвимости в системах. В некоторых случаях операторы PonyFinal тайно размещали среду выполнения Java Runtime Environment (JRE) для запуска вредоноса PonyFinal, а иногда использовали уже установленным JRE на компьютере жертвы. Вымогательское ПО поставляется через MSI-файл, который содержит два пакетных файла и полезную нагрузку. UVNC_Install.bat создает запланированное задание с именем «Java Updater» и вызывает RunTask.bat, который запускает полезную нагрузку PonyFinal.JAR. Зашифрованные PonyFinal файлы имеют формат .enc. В настоящее время не существует способов или инструментов для расшифровки данных. |
Проверить безопасность сайта