Napadači šire ransomware korišćenjem RDP-a
Istraživači iz Sophos otkrili su više napada u koji su napadači koristili RDP (Remote Desktop Protocol) kako bi računare zarazili sa virusima iz ransomware porodice. Oni navode da su žrtve najčešće mala i srednja preduzeća koja delegiraju administraciju van kompanije.
Iz Sophos-a tvrde da napadači prvo pretražuju internet ili koriste specijalne servise kako bi locirali adrese na kojima su otvoreni RDP portovi. Nakon razbijanja lozinki napadači mogu bez problema da instaliraju različite programe. Napadači koriste javno dostupne legitimne alate za administraciju kako bi lakše pokrenuli viruse.
Posmatrani napadi su koristili alate kao što su NLBrute za razbijanje lozinki, nakon čega su napadači pokušavali da podignu nivo privilegija eksploatacijom ranjivosti kao što su CVE-2017-0213 i CVE-2016-0099. Nakon dobijanja administratorskih privilegija napadači bi kreirali svoj administratorski nalog kako bi imali pristup čak i ako inicijalni nalozi promijene lozinke.
U ovim napadima napadači su koristili legitimne alate da onemoguće antivirusne programe i isključe servise za backup. Pored ovog napadači su isključivali i servere baza podataka kako bi njihove datoteke mogle biti enkriptovane kasnije pokrenutim ransomware-ima.
Ransomware je inicijalno zahtijevao 1 Bitcoin (oko 12 000 BAM) za otključavanje, ali je do sada potvrđena samo jedna uplata tog iznosa. Nije jasno da li su kompanije odlučile da ne plate ili su uspješno smanjile cijenu otkupnine.
Posmatrane kompanije su imale od 30 do 120 zaposlenih i nisu posjedovala svoje IT sektore već je administracija delegirana drugim kompanijama koje su koristile RDP servise za administraciju.
Korisnicima preporučujemo da isključe nepotrebne RDP servise. Potrebni servisi ne smiju biti direktno izloženi na internetu, potrebno je korišćenje VPN-ova i dvofaktorska autentifikacija. Pored ovog potrebno je redovno praviti backup sistema i redovno instalirati ažuriranja, ranjivosti koju su korišćenje su odavno otklonjene.
Izvor:securityweek.com
