What You See Is What You Encrypt – Что Вы видите, то Вы и зашифруете.
Тенденция установки вредоносных программ в корпоративные сети через удаленный рабочий стол (Remote Desktop Protocol) переживает бум среди кибер-преступников. За последние несколько месяцев был проанализирован ряд случаев атак шифровальщиков, направленных на компании из различных европейских стран, которые использовали эту методологию и совершались одними и теми же хакерами.
После получения учетных данных в рамках атаки brute force (подбор пароля) на RDP, кибер-преступники получали доступ к компьютеру.
В такой момент, когда требуется внедрить шифровальщик, хакеры просто автоматически запускают соответствующую вредоносную программу для осуществления процесса шифрования и отображения предупреждения о выкупе. Однако здесь мы можем видеть более персонализированный вариант атаки.
В рамках анализируемого заражения мы увидели, что шифровальщик имеет интерфейс, через который он может быть настроен в зависимости от предпочтений хакера, начиная от адреса электронной почты, который будет показываться в уведомлении о выкупе, отправляемом жертве.
С помощью этой кастомизированной атаки, можно выбрать сетевые компьютеры, чью информацию хакер хотел бы зашифровать, выбрать файлы, настроить опции самоудаления после завершения процесса шифрования, установить скрытый режим и пр.
Как защитить Ваше предприятие от кастомизированных атак
Выживание любой компании в цифровом окружении требует создания прочной стратегии безопасности корпоративной сети. Предотвращение неизвестных угроз информационной безопасности с возможностью их скорейшей нейтрализации или блокировка хакера, если он сумел проникнуть в систему, являются сегодня главными приоритетами.
При исследовании данного случая, в PandaLabs заблокировали попытки атаки, которая использовала эту форму шифровальщиков против компаний, защищенных решением Adaptive Defense в Германии, Бельгии, Швеции и Испании.
Ниже приводим MD5 шифровальщиков:
4 C 163 E 182 FFBA 6 C 87 EA 816 B 7 D 7 A 7 D 32 B
D 9489263 DA 3 A 5 CA 7 E 938315 EFD 32522 D
Своевременные инвестиции в технологии предотвращения, обнаружения и реагирования вместо адаптации решений защиты периметра гарантирует более качественную подготовку защиты от кибер-атак.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.