Ransomware tấn công mục tiêu thông qua giao thức máy tính để bàn từ xa

Computer Security News

Sophos nhà nghiên cứu cảnh báo về loạt ransomware cuộc tấn công chống lại công ty nhỏ và trung bình thông qua Remote Desktop Protocol (RDP).

Theo các chuyên gia, tin tặc lạm dụng các mật khẩu tuần như là một vấn đề phổ biến trong các cuộc tấn công. Sau khi quản lý để crack và RDP mật khẩu, những kẻ tấn công có thể dễ dàng cài đặt phần mềm độc hại vào hệ thống của công ty, với hy vọng sẽ nhận được một khoản thanh toán tiền chuộc.

Sophos đội tuyên bố rằng khám phá RDP cổng tiếp xúc với Internet không phải là khó khăn ở tất cả, và tin tặc có thể sử dụng công cụ đặc biệt tìm kiếm như Shodan để làm điều đó. Sau đó, những tên tội phạm lạm dụng công cộng hay tư nhân công cụ để đạt được quyền truy cập vào các máy dễ bị tổn thương.

Những kẻ tấn công sử dụng một công cụ được gọi là NLBrute để brute-lực theo cách của họ vào hệ thống tìm thấy bằng cách thử một loạt các mật khẩu RDP. Ngay sau khi họ quản lý để tìm mật khẩu đúng, các hacker sẽ ngay lập tức đăng nhập vào mạng và tạo ra các tài khoản quản trị riêng của họ.

Bằng cách này, bọn tội phạm mạng có thể kết nối tới mạng ngay cả khi mật khẩu quản trị mà họ sử dụng để thỏa hiệp ban đầu đã bị thay đổi. “Họ đã có tài khoản dự phòng, họ có thể sử dụng để sneak trở lại sau đó,” nhà nước của các chuyên gia.

Sau đó, những tên tội phạm download và cài đặt hệ thống cấp thấp chỉnh phần mềm, chẳng hạn như quá trình Hacker, sau đó họ tắt hoặc cấu hình lại các ứng dụng chống phần mềm độc hại. Ngoài ra, các tin tặc cố gắng nâng cao đặc quyền qua lạm dụng lỗ hổng được biết đến, bao gồm cả CVE-2017-0213 và sai sót CVE-2016-0099 mà Microsoft đã vá thời gian dài trước đây.

Các hacker tắt dịch vụ cơ sở dữ liệu cho các ransomware mục tiêu cơ sở dữ liệu, tắt cửa sổ các dịch vụ sao lưu trực tiếp được gọi là Volume Shadow Copy và xóa các bản sao lưu sẵn có để ngăn chặn nạn nhân khôi phục được nhắm mục tiêu các tập tin mà không phải trả. Sau đó, những kẻ tấn công tải lên và chạy phần mềm độc hại.

Bọn tội phạm yêu cầu đòi tiền chuộc Bitcoin 1 từ nạn nhân của họ. Mặc dù thực tế rằng nhiều công ty đã đã trúng phần mềm độc hại, các hacker Bitcoin ví cho thấy một giao dịch đơn phù hợp với số tiền yêu cầu. Theo các chuyên gia, điều này có nghĩa rằng nạn nhân đã không thanh toán hoặc họ đàm phán thấp hơn các khoản thanh toán.

“Các nạn nhân của loại tấn công hầu như luôn luôn là công ty nhỏ, Trung bình: Các doanh nghiệp lớn nhất trong cuộc điều tra của chúng tôi có 120 nhân viên, nhưng hầu hết có 30 hoặc ít hơn,” Sophos các đội tuyên bố.

Để giữ an toàn từ phần mềm độc hại, các công ty nên tắt RDP, hoặc để bảo vệ nó tốt nếu họ cần để sử dụng nó thường xuyên. Ngoài ra, họ nên xem xét sử dụng một mạng riêng ảo (VPN) cho các kết nối từ bên ngoài mạng của họ, cùng với xác thực 2 yếu tố (2FA), và để cài đặt sẵn các bản vá lỗi nhanh.


Leave a Reply

Your email address will not be published. Required fields are marked *