Ransomware menyerang sasaran SMBs melalui protokol Desktop jauh

Computer Security News

Sophos penyelidik memberi amaran tentang siri serangan ransomware terhadap Syarikat-syarikat kecil ke sederhana melalui protokol Desktop jauh (RDP).

Menurut pakar, penggodam salah guna kata laluan minggu sebagai satu isu yang biasa dalam serangan mereka. Selepas urusan retak dan kata laluan RDP, penyerang yang boleh dengan mudah memasang malware ke atas sistem Syarikat, harapan untuk mendapatkan bayaran tebusan.

Pasukan Sophos mendakwa menemui pelabuhan RDP didedahkan dalam Internet tidak sukar sekali, dan penggodam boleh menggunakan enjin carian khusus seperti Shodan untuk berbuat demikian. Selepas itu, penjenayah menyalahgunakan alat-alat yang awam atau swasta untuk mendapat akses kepada mesin-mesin yang terdedah.

Penyerang yang digunakan alat yang dipanggil NLBrute untuk brute-force cara mereka ke dalam sistem-sistem yang terdapat dengan mencuba pelbagai kata laluan RDP. Sebaik sahaja mereka dapat mencari laluan yang betul, hacker akan dengan serta-merta memasuki rangkaian dan mencipta akaun pentadbiran mereka sendiri.

Dengan cara ini, penjenayah siber boleh menyambung ke rangkaian walaupun admin kata laluan mereka digunakan untuk kompromi awal telah ditukar. “Mereka sudah punya akaun sandaran yang boleh mereka gunakan untuk menyelinap kembali kemudian,” keadaan pakar.

Kemudian, penjenayah memuat turun dan memasang sistem tahap rendah menyesuaikan perisian, seperti proses Hacker, selepas itu mereka tutup atau menyusun semula aplikasi anti-malware. Di samping itu, penggodam tersebut cuba untuk memartabatkan keistimewaan melalui menyalahgunakan kelemahan dikenali, termasuk CVE-2017-0213 dan kelemahan CVE-2016-0099 yang Microsoft telah dibaiki dahulu.

Hacker matikan Perkhidmatan pangkalan data untuk membiarkan pangkalan sasaran ransomware, padamkan Windows live Perkhidmatan sandaran dipanggil salinan bayang volum dan menghapuskan sandaran sedia ada untuk menghalang mangsa daripada mengambil semula fail sasaran tanpa membayar. Selepas itu, penyerang yang meng-upload dan jalankan perisian berniat jahat itu.

Penjenayah menuntut tebusan Bitcoin 1 dari mangsa-mangsa mereka. Walaupun pada hakikatnya bahawa banyak syarikat sudah telah dilanggar oleh perisian yang berniat jahat, hacker Bitcoin dompet menunjukkan satu urus niaga dipadankan dengan amaun kadar. Menurut pakar, ini bermakna bahawa sama ada mangsa telah tidak membayar, atau mereka dirundingkan bayaran lebih rendah.

“Mangsa serangan jenis ini adalah hampir selalu syarikat-syarikat kecil ke sederhana: perniagaan terbesar dalam penyiasatan kami mempunyai 120 kakitangan, tetapi kebanyakan mempunyai 30 atau kurang,” Sophos yang pasukan tuntutan.

Untuk memastikan selamat dari malware, Syarikat dinasihatkan untuk mematikan RDP, atau untuk melindungi baik jika mereka perlu menggunakannya. Selain itu, mereka harus mempertimbangkan menggunakan sebuah maya peribadi rangkaian (VPN) bagi sambungan dari luar rangkaian mereka, bersama-sama dengan pengesahan dua faktor (2FA), dan memasang disediakan tampalan cepat.


Leave a Reply

Your email address will not be published. Required fields are marked *