Сервисы удаленных рабочих столов используются для развертывания новых программ-вымогателей

Сервисы удаленных рабочих столов используются для развертывания новых программ-вымогателей. Фото: СС0 

Исследователь кибербезопасности под ником linuxct недавно обратился к MalwareHunterTeam, чтобы попытаться узнать больше об обнаруженном ими штамме программы- вымогателя под названием Venus. 

Позже команда обнаружила, что операторы программ-вымогателей были активны с середины августа 2022 года, нацеливаясь на жертв по всему миру, получая доступ к корпоративной сети через протокол удаленного рабочего стола Windows, даже если организация использует необычный номер порта для службы. 

Исследователи пришли к выводу, что лучший способ защититься от таких атак — поместить эти службы за брандмауэр. Более того, службы удаленных рабочих столов не должны быть общедоступными и в идеале должны быть доступны только через виртуальную частную сеть ( VPN ).

Что касается программы-вымогателя Venus, то в методах работы нет ничего необычного для этого типа вредоносного ПО. После картирования сети, идентификации конечных точек и других разведывательных работ вредоносное ПО уничтожит 39 процессов, используемых серверами баз данных и приложениями Office. Журналы событий и тома теневого копирования будут удалены, предотвращение выполнения данных будет отключено, а все файлы будут зашифрованы и получат расширение .venus. 

Наконец, программа-вымогатель создаст записку с требованием выкупа, требуя оплаты в криптовалютах в обмен на ключ дешифрования. Venus,обычно требует оплату в биткойнах, и последняя информация указывает на то, что группа требует 0,02 биткойна или примерно 380 $за ключ дешифрования. 

В конце записки о выкупе содержится большой двоичный объект в кодировке base64, который, по мнению исследователей, скорее всего, является зашифрованным ключом дешифрования, и новые материалы ежедневно загружаются в ID Ransomware.

В прошлом году был еще один штамм программы-вымогателя, использующий то же расширение зашифрованного файла, но исследователи не уверены, тот ли это вариант программы-вымогателя или нет. 

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия. 

Статьи по теме

• Microsoft Office 365 скоро значительно упростит обнаружение угроз безопасности. 
• Microsoft предупреждает пользователей Exchange об атаках с побором паролей. 
• Atlassian активно используется для компрометации корпоративных сетей. 
• Удаленные сервисы становятся привлекательной мишенью для программ-вымогателей.