Ερευνητές ανακάλυψαν ένα νέο ransomware, το οποίο ονόμασαν Tflower. Το ransomware στοχεύει κυρίως σε εταιρικά περιβάλλοντα και εκμεταλλεύεται εκτεθειμένα RDS (remote desktop services).
Το TFlower ανακαλύφθηκε τον Αύγουστο. Ωστόσο, φαίνεται ότι τώρα οι hackers, που κρύβονται από πίσω του, είναι πολύ πιο δραστήριοι και πραγματοποιούν ακόμα περισσότερες επιθέσεις. Πιθανότατα στοχεύουν στην απαίτηση μεγαλύτερων χρηματικών ποσών από τα θύματα ως αντάλλαγμα για τα αρχεία που έχουν επηρεαστεί από το ransomware.
Αρχικά, οι hackers ψάχνουν στο διαδίκτυο για να εντοπίσουν συστήματα με εκτεθειμένα RDS. Από τη στιγμή που θα εντοπίσουν το ευάλωτο σύστημα, θα το παραβιάσουν και θα εισχωρήσουν σε αυτό. Στη συνέχεια, μπορούν να χρησιμοποιήσουν διάφορα εργαλεία, όπως το Power1Shell ή το PSExec για να σαρώσουν το δίκτυο και να εντοπίσουν και άλλα μη ασφαλή συστήματα.
Το δεύτερο στάδιο της επίθεσης περιλαμβάνει τη σύνδεση του παραβιασμένου συστήματος με ένα command and control σύστημα (C2), επιτρέποντας τον έλεγχο της εξέλιξης του ransomware, που κρυπτογραφεί τα αρχεία του στοχευμένου υπολογιστή.
Το TFlower ransomware είναι αρκετά επικίνδυνο αφού έχει τη δυνατότητα να διαγράφει τα Shadow Volume Copies των Windows 10, εμποδίζοντας τον υπολογιστή να διορθώσει το πρόβλημα.
Φυσικά, μετά την κρυπτογράφηση των αρχείων, το TFlower αφήνει ένα σημείωμα, που ονομάζεται “! _Notice _ !. txt”. Μέσω του σημειώματος, οι hackers ενημερώνουν τα θύματα σχετικά με την επίθεση και τους δίνουν οδηγίες για το πώς θα γίνει η πληρωμή προκειμένου να ανακτήσουν τα κρυπτογραφημένα αρχεία τους.
Οι ερευνητές ασφαλείας εφιστούν την προσοχή στους χρήστες και τονίζουν ότι θύρες RDS δεν πρέπει να είναι εκτεθειμένες στο διαδίκτυο, γιατί υπάρχουν πολλοί κίνδυνοι. Πέρα από το TFlower, υπάρχουν πολλά άλλα κακόβουλα λογισμικά που μπορούν να τα εκμεταλλευτούν και να μολύνουν τις συσκευές των χρηστών.
