Новый шифровальщик PonyFinal для кражи данных

Новый шифровальщик PonyFinal для кражи данных
Между 3-м и 4-м кварталами прошлого года средний размер выкупа, требуемого в результате атаки шифровальщиков, увеличился на 104% и достиг 84 116 долларов США. Тем не менее, некоторые варианты шифровальщиков требуют еще больше, особенно если вредоносная программа нацелена на крупные компании, как в случае с Ryuk . Эта программа-шифровальщик, нацеленная на корпоративный сегмент, в среднем требует выкуп в размере более 1,3 миллиона долларов США .


Однако высокие затраты – не единственная опасность, связанная с атакой такого рода: новая, все более распространенная тенденция среди операторов шифровальщиков – это сочетать свои атаки с нарушением данных . Таким образом, кибер-преступники крадут данные, которые они могут попытаться продать в том случае, если жертва не заплатит выкуп, - такой вариант развития событий также позволяет более «эффективно» шантажировать жертву. Некоторое время назад корпорация Microsoft предупредила о новом штамме шифровальщика, который сочетает в себе эти две тактики.

PonyFinal : новый шифровальщик с ручным управлением
В конце мая этого года технологический гигант опубликовал серию твитов, в которых корпорация предупредила о новом штамме Java-шифровальщика под названием PonyFinal , осуществляющего также кражу данных у своих жертв. Как объясняет Microsoft, этот новый шифровальщик управляется кибер-преступниками вручную, в отличие от большинства других вариантов, которые распространяются автоматически.

Как работает PonyFinal
Чтобы получить доступ к системе своей жертвы, операторы PonyFinal проводят атаку типа brute force на Microsoft Systems Management Server (SMS). Следующий шаг – это внедрение скрипта VBScript, чтобы запустить обратную консоль (reverse shell) PowerShell, которая позволяет злоумышленникам извлекать данные с передачей на свой C&C-сервер управления. На этой стадии атаки злоумышленники также запускают систему удаленного манипулятора, чтобы обойти регистрацию событий.

В некоторых случаях злоумышленники запускают Java Runtime Environment (JRE), т.к. ее запуск необходим для PonyFinal, поскольку он основан на Java. Однако есть основания полагать, что злоумышленники используют информацию, украденную из SMS, чтобы иметь возможность нацеливаться на конечные устройства, где уже установлена JRE. Это означает, что компании, которые уже установили JRE, могут быть «слепы» к этой атаке.

PonyFinal поставляется через MSI-файл, который содержит два bat-файла и полезную нагрузку с шифровальщиком. Файл UVNC_Install.bat создает запланированную задачу под названием "Java Updater" и вызывает файл RunTask.bat, который запускает полезную нагрузку из файла PonyFinal.JAR.

Операторы ждут идеального момента …
Корпорация Microsoft объяснила, что операторы PonyFinal ждут определенного времени и даты, чтобы зашифровать файлы своей жертвы. Как и другие подобные программы-шифровальщики с ручным управлением, операторы PonyFonal выжидают удобного момента для развертывания полезной нагрузки. В случае недавних нападений на больницы этот момент был в начале апреля, на пике пандемии коронавируса COVID-19 .

Решение: патчи и мониторинг
Чтобы остановить проникновение PonyFinal в корпоративные системы, корпорация Майкрософт рекомендовала организациям сократить  поверхность атаки, обеспечив обновление всех ресурсов, подключенных к Интернету, соответствующими патчами. Это особенно важно для VPN и других инструментов удаленного доступа, которые сейчас, во время пандемии, используются гораздо шире и чаще , чем когда-либо ранее. Кроме того, крайне важно проводить периодические аудиты на предмет поиска неправильных конфигураций и уязвимостей.

Многие организации часто испытывают трудности с определением приоритетов и применением соответствующих патчей. Вот почему компания Panda Security предлагает решение для оптимизации процесса обнаружения, планирования и установки патчей с помощью модуля Panda Patch Management . Данное решение в режиме реального времени обеспечивает видимость ожидающих применения патчей и обновлений, а также программного обеспечения, у которого закончился срок поддержки со стороны производителя (ПО в режиме EoL). Таким образом, вы можете быть уверены, что у вас всегда будут установлены патчи, необходимые для обеспечения безопасности вашей компании.

Корпорация Microsoft также рекомендует проверять активность по подбору паролей в рамках атак типа brute force. Семейство решений Panda Adaptive Defense непрерывно отслеживает всю активность в ИТ-системе. Решение позволяет останавливать любую подозрительную активность, даже самые сложные кибер-угрозы, прежде чем они могут причинить какой-либо ущерб компании.
PonyFinal, Ryuk и Netwalker – это лишь некоторые из новых вариантов шифровальщиков, которые в 2020 году вызывают серьезные проблемы в ИТ-системах. Защитите свою организацию от этих и любых других кибер-угроз с помощью пакета информационной безопасности Panda Adaptive Defense 360 .



Оригинал статьи: PonyFinal: The new data-stealing ransomware

Panda Security в России и СНГ
+7(495)105 94 51, marketing@rus.pandasecurity.com
https://www.cloudav.ru
B2B кража данных шифровальщик
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Мы расшифровали формулу идеальной защиты!

Спойлер: она начинается с подписки на наш канал

Введите правильный пароль — подпишитесь!

Облачные решения

Новости и события компании. Информационная безопасность IT-устройств дома, малого и среднего бизнеса, антивирусы.