Ransomware attacker målet SMB via Remote Desktop Protocol

Computer Security News

Sophos forskare varnade om serie ransomware attacker mot små till medelstora företag via Remote Desktop Protocol (RDP).

Enligt experterna missbrukar hackare vecka lösenord ett vanligt problem i sina attacker. Efter hantering till spricka och RDP lösenord, kan angriparna enkelt installera den skadlig programvaran på företagets system, hoppas få en lösen betalningen.

Sophos laget hävdar att upptäcka RDP portar utsätts för Internet inte är svårt alls, och hackare kan använda specialiserade sökmotorer såsom Shodan för att göra. Efter det missbrukar brottslingar offentliga eller privata verktyg för att få tillgång till sårbara datorer.

Angriparna använde ett verktyg som kallas NLBrute för att brute force sin väg in i hittade systemen genom att försöka en mängd RDP lösenord. Så snart de lyckades hitta rätt lösenord, skulle hackare omedelbart logga in på nätverket och skapa sina egna administrativa konton.

På detta sätt kan cyberkriminella återansluter till nätverket även om administratörslösenord som de används för inledande kompromiss har ändrats. ”De har redan fått backup konton som de kan använda att smyga tillbaka in senare”, experter staten.

Brottslingarna hämta och installera sedan lågaktivt system tweaking programvara, till exempel Process Hacker, varefter de inaktivera eller konfigurera om anti-malware program. Dessutom kan försöka hackare höja privilegier via missbrukar kända sårbarheter, inklusive CVE-2017-0213 och CVE-2016-0099 brister som Microsoft har lappat för länge sedan.

Hackare inaktivera databastjänster låta ransomware mål databaserna, stänger av Windows live tjänsten backup kallas volym skuggkopia och radera befintliga säkerhetskopior för att förhindra offer från att återställa riktade filer utan att betala. Efter att angriparna Ladda upp och köra skadlig kod.

Brottslingarna krävde 1 Bitcoin lösen från sina offer. Trots att många företag redan har drabbats av skadlig kod, visar de hackare Bitcoin plånbok en enda transaktion på det efterfrågade beloppet. Enligt experterna innebär detta att antingen offer inte har betalat eller de förhandlat fram lägre betalningar.

”Offer för denna typ av attack är nästan alltid små till medelstora företag: största företag i vår undersökning hade 120 anställda, men de flesta hade 30 eller färre”, Sophos team påståenden.

För att skydda mot skadlig kod, uppmanas företag att stänga av RDP eller för att skydda det väl om de behöver använda det regelbundet. Också, bör de överväga att använda ett virtuellt privat nätverk (VPN) för anslutningar från utanför deras nätverk, tillsammans med tvåfaktorsautentisering (2FA), och installera tillgängliga patchar snabb.


Leave a Reply

Your email address will not be published. Required fields are marked *