Показать сообщение отдельно

Re: IT-безопасность-свежие новости.
Старый 10.05.2016, 20:20   #1042
☭☭☭☭☭
 
Аватар для kroxus

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 10 250

kroxus вне форума

IT-безопасность-свежие новости.


Вымогатель Bucbi вернулся в новом обличье

Криптоблокер Bucbi, дебютировавший два года назад, стал более разборчивым в выборе и использует bruteforce-атаки.

Исследователи из Palo Alto Networks обнаружили новую версию Bucbi на Windows Server; зловред требовал у владельца 5 биткойнов ($2,32 тыс.) за расшифровку. Анализ показал, что операторы обновленного блокера больше не раздают его ковром, как два года назад, а проводят целевые атаки.

«В прошлом этот вымогатель атаковал своих жертв без разбору и раздавался через email-вложения и с вредоносных сайтов, – пояснил журналистам Threatpost исследователь из Palo Alto Райан Олсон (Ryan Olson). – Злоумышленники ныне сменили тактику и применяют bruteforce-атаки».

По словам Олсона, основным объектом интересов обновленного Bucbi являются корпоративные сети, в которых работают доступные из интернета RDP-серверы. Получить доступ к этим Windows-серверам атакующим помогает утилита, называемая RDP Brute, которая способна взламывать пароли перебором по словарю.

В своем отчете исследователи высказали предположение, что, судя по списку учетных данных, которым оперируют злоумышленники, их основными мишенями являются PoS-системы. Этот список включает такие имена пользователя, как FuturePos, KahalaPOS, BPOS. «Вполне вероятно, что эта атака началась с поиска PoS-устройств (злоумышленниками), а затем, после успешной компрометации, когда оказалось, что скомпрометированные устройства не проводят финансовые транзакции, они сменили тактику», – полагают в Palo Alto. Нововведением также является отказ Bucbi от HTTP-связи с командным сервером. Злоумышленники просто устанавливают полный RDP-контроль над атакуемой системой. «Bucbi уникален тем, что он более чем зловред, распространяемый автоматизированными методами, – говорит Олсон. – За последние два года он эволюционировал и превратился в инструмент, который можно использовать для поиска конфиденциальных данных, получения представления о сети и для шифрования файлов». Еще одной уникальной чертой, пока не получившей подтверждения, является политическая мотивация атак с его использованием – по крайней мере, так утверждают его операторы. «Мы нигде не нашли свидетельств верности этого утверждения вымогателей», – констатирует Олсон.

В ходе анализа были обнаружены множественные признаки, по которым можно установить принадлежность новых атак Bucbi; в частности, адрес электронной почты, указанный в сообщении с требованием выкупа, исследователи определили как принадлежащий украинским националистам из «Правого сектора».

В беседе с Threatpost Олсон также отметил, что Bucbi – типичный представитель переживающей расцвет бизнес-модели вымогательства, сделавшей ставку на шифровании информации вместо ее кражи с последующей продажей. «Если бы я был плохим парнем и хотел скомпрометировать лечебное учреждение, я бы мог украсть огромное количество персональных и клинических данных, однако превращение краденого в деньги и статью дохода – дело не из легких, – признал представитель Palo Alto. – Использование вымогательского ПО означает, что все системы, которые можно скомпрометировать, потенциально представляют ценность».

Источник
__________________
пусть всегда будет солнце
  Ответить с цитированием
 
Яндекс.Метрика