Команда безопасности Microsoft показала новое вымогательское ПО, которое используется при атаках человека.Он использует «грубую силу» против сервера управления системами целевой компании и в основном нацелен на сектор здравоохранения в условиях кризиса COVID-19.
Согласно серии твитов, опубликованных 27 мая техническим гигантом, атака вымогателей, управляемая человеком, под названием «PonyFinal», требует от хакеров взломать схему безопасности корпоративных сетей, чтобы вручную развернуть вымогателей.
Это означает, что PonyFinal не полагается на то, что пользователи будут обманывать пользователей при запуске фишинговых ссылок или электронных писем.
Атака вымогателей на основе Java
Pony Final на основе Java развертывает Java Runtime Environment или JRE.Факты, обнаруженные Microsoft, показывают, что злоумышленники используют информацию, украденную с сервера управления системами, для нацеливания на конечные точки, где JRE уже установлена.
Далее в отчете говорится, что вымогатель поставляется через MSI-файл, который содержит два пакетных файла, включая полезную нагрузку, которая будет активирована злоумышленником.
Филип Миснер, директор по исследованиям Microsoft Threat Protection, поясняет, что существуют другие управляемые человеком программы-вымогатели, такие как Bitpaymer, Ryuk, Revil и Samas.PonyFinal был впервые обнаружен в начале апреля.
Более одной группы злоумышленников используют PonyFinal
В отчете подчеркивается, что авторство нельзя отнести к одной группе злоумышленников, поскольку несколько хакерских групп используют эту же форму вымогателей.
В беседе с Cointelegraph Бретт Кэллоу, аналитик угроз в лаборатории вредоносных программ Emsisoft, поделился следующими отзывами о PonyFinal:
«Управляемое людьми вымогательское ПО, такое как PonyFinal, не является чем-то необычным, и его метод доставки, который, по словам Microsoft, является« атаками грубой силы на сервер управления системами целевой компании ».Атаки на интернет-серверы не являются чем-то необычным и составляют значительный процент случаев вымогателей. Но они также в основном предотвратимы, поскольку такие атаки обычно успешны только из-за слабости или уязвимости безопасности ».
Кэллоу добавляет, что компании могут значительно снизить вероятность успешной атаки, следуя рекомендациям: использование многофакторной аутентификации, быстрое исправление ошибок и отключение PowerShell, когда это возможно.
Последние атаки вымогателей в разгар пандемии коронавируса
В разгар кризиса COVID-19 в разных частях мира продолжают совершаться атаки на вымогателей, причем многие из них нацелены на медицинские компании.
30 марта сообщалось, что операторы вымогателей Ryuk продолжают атаковать больницы.
7 мая, по сообщениям, хакеры заразили ИТ-инфраструктуру крупнейшей частной больницы в Европе, немецкой компании Fresenius, вымогателем, известным как Snake.
