Главная » Блоги Экспертов И ИТ-Компаний » Новый шифровальщик PonyFinal для кражи данных

Новый шифровальщик PonyFinal для кражи данных

Между 3-м и 4-м кварталами прошлого года средний размер выкупа, требуемого в результате атаки шифровальщиков, увеличился на 104% и достиг 84 116 долларов США. Тем не менее, некоторые варианты шифровальщиков требуют еще больше, особенно если вредоносная программа нацелена на крупные компании, как в случае с Ryuk. Эта программа-шифровальщик, нацеленная на корпоративный сегмент, в среднем требует выкуп в размере более 1,3 миллиона долларов США.

Однако высокие затраты – не единственная опасность, связанная с атакой такого рода: новая, все более распространенная тенденция среди операторов шифровальщиков – это сочетать свои атаки с нарушением данных. Таким образом, кибер-преступники крадут данные, которые они могут попытаться продать в том случае, если жертва не заплатит выкуп, - такой вариант развития событий также позволяет более «эффективно» шантажировать жертву. Некоторое время назад корпорация Microsoft предупредила о новом штамме шифровальщика, который сочетает в себе эти две тактики.

PonyFinal: новый шифровальщик с ручным управлением

В конце мая этого года технологический гигант опубликовал серию твитов, в которых корпорация предупредила о новом штамме Java-шифровальщика под названием PonyFinal, осуществляющего также кражу данных у своих жертв. Как объясняет Microsoft, этот новый шифровальщик управляется кибер-преступниками вручную, в отличие от большинства других вариантов, которые распространяются автоматически.

Как работает PonyFinal

Чтобы получить доступ к системе своей жертвы, операторы PonyFinal проводят атаку типа brute force на Microsoft Systems Management Server (SMS). Следующий шаг – это внедрение скрипта VBScript, чтобы запустить обратную консоль (reverse shell) PowerShell, которая позволяет злоумышленникам извлекать данные с передачей на свой C&C-сервер управления. На этой стадии атаки злоумышленники также запускают систему удаленного манипулятора, чтобы обойти регистрацию событий.

В некоторых случаях злоумышленники запускают Java Runtime Environment (JRE), т.к. ее запуск необходим для PonyFinal, поскольку он основан на Java. Однако есть основания полагать, что злоумышленники используют информацию, украденную из SMS, чтобы иметь возможность нацеливаться на конечные устройства, где уже установлена JRE. Это означает, что компании, которые уже установили JRE, могут быть «слепы» к этой атаке.

PonyFinal поставляется через MSI-файл, который содержит два bat-файла и полезную нагрузку с шифровальщиком. Файл UVNC_Install.bat создает запланированную задачу под названием "Java Updater" и вызывает файл RunTask.bat, который запускает полезную нагрузку из файла PonyFinal.JAR.

Операторы ждут идеального момента …

Корпорация Microsoft объяснила, что операторы PonyFinal ждут определенного времени и даты, чтобы зашифровать файлы своей жертвы. Как и другие подобные программы-шифровальщики с ручным управлением, операторы PonyFonal выжидают удобного момента для развертывания полезной нагрузки. В случае недавних нападений на больницы этот момент был в начале апреля, на пике пандемии коронавируса COVID-19.

Решение: патчи и мониторинг

Чтобы остановить проникновение PonyFinal в корпоративные системы, корпорация Майкрософт рекомендовала организациям сократить  поверхность атаки, обеспечив обновление всех ресурсов, подключенных к Интернету, соответствующими патчами. Это особенно важно для VPN и других инструментов удаленного доступа, которые сейчас, во время пандемии, используются гораздо шире и чаще, чем когда-либо ранее. Кроме того, крайне важно проводить периодические аудиты на предмет поиска неправильных конфигураций и уязвимостей.

Многие организации часто испытывают трудности с определением приоритетов и применением соответствующих патчей. Вот почему компания Panda Security предлагает решение для оптимизации процесса обнаружения, планирования и установки патчей с помощью модуля Panda Patch Management. Данное решение в режиме реального времени обеспечивает видимость ожидающих применения патчей и обновлений, а также программного обеспечения, у которого закончился срок поддержки со стороны производителя (ПО в режиме EoL). Таким образом, вы можете быть уверены, что у вас всегда будут установлены патчи, необходимые для обеспечения безопасности вашей компании.

Корпорация Microsoft также рекомендует проверять активность по подбору паролей в рамках атак типа brute force. Семейство решений Panda Adaptive Defense непрерывно отслеживает всю активность в ИТ-системе. Решение позволяет останавливать любую подозрительную активность, даже самые сложные кибер-угрозы, прежде чем они могут причинить какой-либо ущерб компании.

PonyFinal, Ryuk и Netwalker – это лишь некоторые из новых вариантов шифровальщиков, которые в 2020 году вызывают серьезные проблемы в ИТ-системах. Защитите свою организацию от этих и любых других кибер-угроз с помощью пакета информационной безопасности Panda Adaptive Defense 360.

 

Оригинал статьи: PonyFinal: The new data-stealing ransomware

 

Panda Security в России и СНГ

 +7(495)105 94 51, marketing@rus.pandasecurity.com

 https://www.cloudav.ru


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Екатеринбург
+7(495)1059451
Информационные технологии

С момента своего создания в 1990 году, компания Panda Security стала одним из ведущих европейским транснациональным производителем передовых решений и сервисов информационной безопасности с опциями расширенной защиты, а также инструментов управления и контроля над компьютерами и ИТ-системами. Компания последовательно придерживается духа инноваций и отмечена рядом наиболее важных достижений в своей сфере.

Компания Panda Security – это лидирующий европейский EDR-производитель со 100% европейским составом акционеров, штаб-квартирой, технологиями и облачной платформой. Ее современная и эффективная модель информационной безопасности стала визитной карточкой, которая позволила компании получить многочисленные официальные сертификаты, такие как сертификация по общим критериям Common Criteria или сертификаты Национального криптологического центра (National Cryptology Center).

Компания имеет представительства в более чем 80 странах мира, а ее продуктами, переведенными на 23 языка, пользуются миллионы клиентов во всем мире.

https://www.cloudav.ru

 

 




Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>