ΑρχικήSecurityΣυμμορία ransomware στοχεύει διαχειριστές Windows μέσω PuTTy

Συμμορία ransomware στοχεύει διαχειριστές Windows μέσω PuTTy

Μια συμμορία ransomware στοχεύει τους διαχειριστές συστήματος των Windows αφαιρώντας διαφημίσεις Google για την προώθηση ψεύτικων τοποθεσιών λήψης για Putty και WinSCP.

Δείτε επίσης: Κατάχρηση του Windows Quick Assist για διανομή του Black Basta ransomware

Συμμορία ransomware PuTTy

Τα WinSCP και Putty είναι δημοφιλή βοηθητικά προγράμματα των Windows, με το WinSCP να είναι πελάτης SFTP και πελάτης FTP και το Putty να είναι πελάτης SSH.

Οι διαχειριστές συστήματος έχουν συνήθως υψηλότερα προνόμια σε ένα δίκτυο Windows, καθιστώντας τους πολύτιμους στόχους για τους παράγοντες απειλών που θέλουν να εξαπλωθούν γρήγορα μέσω ενός δικτύου, να κλέψουν δεδομένα και να αποκτήσουν πρόσβαση στον ελεγκτή τομέα ενός δικτύου για να αναπτύξουν ransomware.

Μια πρόσφατη αναφορά από το Rapid7 λέει ότι μια καμπάνια μηχανών αναζήτησης μίας συμμορίας ransomware, εμφάνιζε διαφημίσεις για ψεύτικους ιστότοπους Putty και WinSCP κατά την αναζήτηση για λήψη winscp ή download putty. Δεν είναι σαφές εάν αυτή η καμπάνια πραγματοποιήθηκε στο Google ή στο Bing. Αυτές οι διαφημίσεις χρησιμοποιούσαν τυπογραφικά ονόματα τομέα όπως puutty.org, puutty[.]org, wnscp[.]net και vvinscp[.]net.

Ενώ αυτοί οι ιστότοποι υποδύθηκαν τη νόμιμη τοποθεσία για το WinSCP (winscp.net), η συμμορία ransomware μιμήθηκε έναν μη συνδεδεμένο ιστότοπο για το PuTTY (putty.org), που πολλοί άνθρωποι πιστεύουν ότι είναι ο πραγματικός ιστότοπος. Ο επίσημος ιστότοπος για το PuTTY είναι στην πραγματικότητα ο https://www.chiark.greenend.org.uk/~sgtatham/putty/.

Αυτοί οι ιστότοποι περιλαμβάνουν συνδέσμους λήψης στους οποίους, όταν κάνετε κλικ, είτε θα σας ανακατευθύνουν σε νόμιμους ιστότοπους είτε θα πραγματοποιήσουν λήψη ενός αρχείου ZIP από τους διακομιστές του παράγοντα απειλής με βάση το εάν παραπεμφθήκατε από μια μηχανή αναζήτησης ή από άλλο ιστότοπο στην καμπάνια.

Δείτε ακόμα: Αυστραλιανές εταιρείες δεν αναφέρουν επιθέσεις ransomware

διαχειριστές Windows

Τα ληφθέντα αρχεία ZIP περιέχουν ένα εκτελέσιμο αρχείο Setup.exe, το οποίο είναι ένα μετονομασμένο και νόμιμο εκτελέσιμο αρχείο για την Python για Windows (pythonw.exe) και ένα κακόβουλο αρχείο python311.dll.

Όταν εκκινηθεί το εκτελέσιμο αρχείο pythonw.exe, θα προσπαθήσει να εκκινήσει ένα νόμιμο αρχείο python311.dll. Ωστόσο, οι φορείς απειλών αντικατέστησαν αυτό το DLL με μια κακόβουλη έκδοση που φορτώθηκε, αντί να χρησιμοποιεί το DLL Sideloading.

Όταν ένας χρήστης εκτελεί το Setup.exe, νομίζοντας ότι εγκαθιστά το PuTTY ή το WinSCP της συμμορίας ransomware, φορτώνει το κακόβουλο DLL, το οποίο εξάγει και εκτελεί ένα κρυπτογραφημένο σενάριο Python. Αυτό το σενάριο θα εγκαταστήσει τελικά το Sliver post-exploitation toolkit, ένα δημοφιλές εργαλείο που χρησιμοποιείται για την αρχική πρόσβαση σε εταιρικά δίκτυα.

Η Rapid7 λέει ότι η συμμορία ransomware χρησιμοποίησε το Sliver για να παραδώσει παραπάνω ωφέλιμα φορτία. Η ομάδα χρησιμοποίησε αυτήν την πρόσβαση για να εκμεταλλευτεί δεδομένα και να προσπαθήσει να αναπτύξει κρυπτογράφηση ransomware. Ενώ η Rapid7 μοιράστηκε περιορισμένες λεπτομέρειες σχετικά με το ransomware, οι ερευνητές λένε ότι η καμπάνια είναι παρόμοια με εκείνες που είδαν οι Malwarebytes και Trend Micro, οι οποίες ανέπτυξαν το πλέον ανενεργό BlackCat/ALPHV ransomware.

Δείτε επίσης: Το Mallox Ransomware εντοπίστηκε σε MS-SQL Honeypot Attack

Ποιοι είναι οι πιο κοινοί στόχοι των ransomware επιθέσεων;

Οι πιο κοινοί στόχοι των ransomware επιθέσεων, όπως αυτή που πραγματοποίησε η συμμορία ransomware μέσω PuTTy, περιλαμβάνουν μικρές και μεσαίες επιχειρήσεις (ΜΜΕ). Αυτές οι επιχειρήσεις συχνά δεν διαθέτουν τους πόρους ή την τεχνογνωσία για να προστατευτούν επαρκώς από τις κυβερνοεπιθέσεις, καθιστώντας τις ευάλωτες σε επιθέσεις ransomware. Ένας άλλος κοινός στόχος είναι οι οργανισμοί υγειονομικής περίθαλψης. Τα νοσοκομεία και οι κλινικές διαχειρίζονται ευαίσθητα δεδομένα ασθενών και χρειάζονται συνεχή πρόσβαση στα συστήματά τους. Οι κυβερνητικοί οργανισμοί και οι δημόσιες υπηρεσίες είναι επίσης συχνοί στόχοι. Αυτοί οι οργανισμοί διαχειρίζονται κρίσιμες υποδομές και δεδομένα, και οι επιθέσεις ransomware μπορούν να προκαλέσουν σημαντικές διαταραχές στις λειτουργίες τους. Τέλος, οι εκπαιδευτικοί οργανισμοί, όπως πανεπιστήμια και σχολεία, είναι επίσης ευάλωτοι σε ransomware επιθέσεις.

Πηγή: bleepingcomputer

Absenta Mia
Absenta Miahttps://secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS