Сервисы удаленных рабочих столов используются для развертывания новых программ-вымогателей
Сервисы удаленных рабочих столов используются для развертывания новых программ-вымогателей. Фото: СС0
Исследователь кибербезопасности под ником linuxct недавно обратился к MalwareHunterTeam, чтобы попытаться узнать больше об обнаруженном ими штамме программы- вымогателя под названием Venus.
Позже команда обнаружила, что операторы программ-вымогателей были активны с середины августа 2022 года, нацеливаясь на жертв по всему миру, получая доступ к корпоративной сети через протокол удаленного рабочего стола Windows, даже если организация использует необычный номер порта для службы.
Исследователи пришли к выводу, что лучший способ защититься от таких атак — поместить эти службы за брандмауэр. Более того, службы удаленных рабочих столов не должны быть общедоступными и в идеале должны быть доступны только через виртуальную частную сеть ( VPN ).
Что касается программы-вымогателя Venus, то в методах работы нет ничего необычного для этого типа вредоносного ПО. После картирования сети, идентификации конечных точек и других разведывательных работ вредоносное ПО уничтожит 39 процессов, используемых серверами баз данных и приложениями Office. Журналы событий и тома теневого копирования будут удалены, предотвращение выполнения данных будет отключено, а все файлы будут зашифрованы и получат расширение .venus.
Наконец, программа-вымогатель создаст записку с требованием выкупа, требуя оплаты в криптовалютах в обмен на ключ дешифрования. Venus,обычно требует оплату в биткойнах, и последняя информация указывает на то, что группа требует 0,02 биткойна или примерно 380 $за ключ дешифрования.
В конце записки о выкупе содержится большой двоичный объект в кодировке base64, который, по мнению исследователей, скорее всего, является зашифрованным ключом дешифрования, и новые материалы ежедневно загружаются в ID Ransomware.
В прошлом году был еще один штамм программы-вымогателя, использующий то же расширение зашифрованного файла, но исследователи не уверены, тот ли это вариант программы-вымогателя или нет.
Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
- Microsoft Office 365 скоро значительно упростит обнаружение угроз безопасности.
- Microsoft предупреждает пользователей Exchange об атаках с побором паролей.
- Atlassian активно используется для компрометации корпоративных сетей.
- Удаленные сервисы становятся привлекательной мишенью для программ-вымогателей.
Комментариев пока не было