Skoči na vsebino

SI-CERT 2017-04 / Okužbe z izsiljevalskimi virusi preko storitev za oddaljen dostop

Opis

Na SI-CERT opažamo močan porast števila okužb z izsiljevalskimi virusi, ki jih napadalci namestijo preko vdorov v odprto storitev za oddaljen dostop do namizja.

Tarča so sistemi, ki imajo javno odprt dostop do katere od storitev, ki se uporabljajo za oddaljen nadzor in upravljanje s sistemom, npr. Remote Desktop (Oddaljeno namizje), Team Viewer in VNC. Napadi so usmerjeni predvsem na podjetja in organizacije, saj se storitve za oddaljeni dostop najpogosteje uporabljajo ravno v poslovnih okoljih, običajno za dostope do strežniške infrastrukture.

Napadalci gesla za dostop najpogosteje pridobijo preko napada s surovo silo s poskušanjem različnih kombinacij najpogostejših uporabniških imen in gesel, ali pa te podatke predhodno pridobijo preko okužb računalnikov, ki dostopajo do storitve za oddaljen dostop. Sezname sistemov z odprtimi vrati za oddaljen dostop s pripadajočimi uporabniškimi imeni in gesli napadalci lahko tudi  kupijo oz. pridobijo na črnih trgih v Darkweb omrežju.

Po vdoru napadalci izklopijo varnostne mehanizme (antivirusni program, HIPS, požarni zid), nato pa na sistem običajno prenesejo zlonameren izvršljiv program (virus), ki zašifrira vse datoteke, do katerih ima dostop – lokalne datoteke ter datoteke na priklopljenih zunanjih in omrežnih pogonih. V nekaterih primerih pa so napadalci uporabniške datoteke prenesli na posebno particijo na disku, ki so jo zašifrirali z vgrajenim Windows orodjem Bitlocker. Po zašifriranju datotek napadalci na namizju pustijo obvestilo z navodili za odkup šifrirnega ključa v kripto valuti Bitcoin (BTC). Napadalci praviloma zahtevajo, da se jih kontaktira po elektronski pošti. Razpon odkupnine je običajno med 0,5 in 5 BTC (glede na trenutno vrednost BTC je to med 1.000 in 10.000 EUR).

Primer obvestila napadalcev
Primer obvestila napadalcev

Zaščita

Administratorjem, ki potrebujejo omogočeno storitev oddaljenega dostopa do sistemov, svetujemo naslednje ukrepe:

Ukrepi v primeru vdora

V primeru uspešnega vdora in zašifriranja datotek uporabnikom svetujemo, da zlorabljen sistem izklopijo iz omrežja in na novo postavijo (ponovno namestijo operacijski sistem), datoteke pa restavrirajo iz varnostne kopije. Če te ni na voljo se uporabniki lahko po pomoč glede možnosti povrnitve datotek brez plačila odkupnine obrnejo na SI-CERT. Plačilo odkupnine močno odsvetujemo. Če se uporabniki vseeno odločijo za to možnost, se z napadalcem lahko poskusijo dogovoriti za nižjo odkupnino, pred plačilom pa naj od napadalca zahtevajo, da testno odšifrira nekaj datotek.

Preberite tudi

SI-CERT 2021-03 Širjenje okužb s trojanskim konjem QBot

Povzetek QBot (tudi Qakbot) je trojanski konj, prvenstveno namenjen kraji podatkov iz okuženega sistema, ki je v različnih oblikah prisoten že več kot 10 let. V zadnjih različicah je pridobil …
Več

SI-CERT 2021-02 / Kritične ranljivosti Exim poštnega strežnika

V sistemu za posredovanje e-sporočil (MTA) Exim je bilo odkritih več varnostnih pomanjkljivosti, med njimi so tudi take, ki omogočajo izvajanje ukazov na daljavo s povišanimi (root) pravicami (remote command execution – RCE). Ranljivosti so prisotne v vseh različicah Exim MTA izdanih do trenutno zadnje verzije 4.94.2. Vsem uporabnikom svetujemo takojšnjo posodobitev na zadnjo dostopno različico.
Več

SI-CERT 2021-01 / Kritične ranljivosti Microsoft Exchange strežnikov

Microsoft je izdal popravke, s katerimi je zakrpal več 0-day kritičnih ranljivosti Microsoft Exchange strežnikov. Po podatkih Microsofta naj bi se pred izdajo popravkov ranljivosti že izkoriščale v posameznih napadih, po podatkih drugih odzivnih centrov pa naj bi bil obseg izkoriščanja ranljivosti precej večji, kot je bilo prvotno domnevano.
Več