Следующая новость
Предыдущая новость

Microsoft предупредила об опасности шифровальщика PonyFinal

28.05.2020 19:02
Microsoft предупредила об опасности шифровальщика PonyFinal

Рекомендуем почитать:

Xakep #252. Чемоданчик хакера

  • Содержание выпуска
  • Подписка на «Хакер»-35%

Компания Microsoft предупредила организации об опасности шифровальщика PonyFinal, атаки которого уже были зафиксированы в Индии, Иране и США.

Малварь основывается на Java и используется для атак, которые вручную направляют операторы PonyFinal. То есть хакеры взламывают корпоративные сети и вручную размещают там вымогательское ПО, а не распространяют шифровальщика автоматизировано, через почтовый спам или наборы эксплоитов, как это бывает обычно.

Microsoft сообщает, что, как правило, точкой вторжения выступает учетная запись на сервере управления системами, куда операторы PonyFinal вторгаются при помощи брутфорс атак и подбора слабых паролей. На сервере хакеры деплоят скрипт Visual Basic, который запускает реверс шелл PowerShell для сбора и хищения данных.

Проникнув в сеть целевой компании, злоумышленники распространяю заражение и на другие локальные системы, а затем внедряют сам вымогатель PonyFinal. В большинстве случаев хакеры атакуют рабочие станции, на которых установлена ​​Java Runtime Environment (JRE), так как PonyFinal написан на Java. Но специалисты Microsoft отмечают, что также они фиксировали случаи, когда группировка самостоятельно устанавливала JRE в системах жертв перед запуском шифровальщика.

Зашифрованные с помощью PonyFinal файлы обычно имеют расширение .enc. Схема шифрования PonyFinal считается надежной, то есть пока не существует способов и бесплатных инструментов для расшифровки пострадавших данных.

Microsoft предупредила об опасности шифровальщика PonyFinal

По данным ИБ-экспертов Майкла Гиллеспи и MalwareHunterTeam, вымогатель PonyFinal появился в начале текущего года, и пока от его активности пострадали считанные единицы компаний, что лишь подтверждает теорию о том, что PonyFinal используется в целевых атаках на тщательно отобранные цели.­

Специалист Emsisoft Майкл Гиллеспи отмечает, что пользователи, которые загружали образцы малвари на сайт ID-Ransomware для идентификации, находились в Индии, Иране и США.

Microsoft предупредила об опасности шифровальщика PonyFinal

По информации Microsoft, PonyFinal входит в короткий список вымогателей, управляемых живыми операторами. В последнее время такие вредоносы неоднократно применялись против организаций из сектора здравоохранения, невзирая на текущую пандемию коронавируса. Помимо PonyFinal этот список включает: RobbinHood, NetWalker, Maze, REvil (Sodinokibi), Paradise, RagnarLocker, MedusaLocker и LockBit.

Источник

Последние новости