Известная уязвимость VMware используется для распространения программ-вымогателей
Известная уязвимость VMware используется для распространения программ-вымогателей. Фото: СС0
Было обнаружено, что CVE-2022-22954 использовал известная хакерская группа — APT35 (он же Rocket Kitten). Месяц спустя группа EnemyBot присоединилась к атакам с помощью этой бреши в безопасности. Злоумышленники использовали эту уязвимость для развертывания ботнета Mira для DDoS - атак или GuardMiner для майнинга криптовалюты.
Теперь команда Fortinet обнаружила, что уязвимость используют для развертывания инструмента RAR1Ransom. Исследователи описывают его как «простую программу- вымогатель», которая использует WinRAR для сжатия файлов жертвы и блокировки их паролем.
После завершения задачи всем заблокированным файлам присваивается расширение .rar1. Чтобы получить пароль, жертве нужно заплатить 2 XMR, или примерно 290 долларов.
Стоит отметить, что это не «классический» вариант программы-вымогателя, так как он на самом деле не шифрует файлы, а просто блокирует их в защищенном паролем архиве.
Команда Fortinet также обнаружила, что адрес XMR, на который жертвам нужно платить, совпадает с адресом, используемым в GuardMiner.
VMware исправила уязвимость удаленного выполнения кода несколько месяцев назад, но похоже, что некоторые организации еще не установили патч свои конечные точки. Специалисты призывают сделать это как можно быстрее.
Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
13025
Комментариев пока не было