Эксперты предупредили о новых атаках с использованием вредоноса PonyFinal

1 июня 2020 года

ИБ-специалисты из Microsoft предупредили компании о новых кибератаках с использованием вымогательского ПО PonyFinal. Первые атаки с использованием PonyFinal были зафиксированы в апреле нынешнего года в Индии, Иране и США. Операторы вредоноса также неоднократно атаковали организации в сфере здравоохранения.

Операторы PonyFinal тщательно готовятся к атакам — они взламывают корпоративные сети и вручную устанавливают вредоносное ПО, а не автоматизируют данный процесс. Как отметили специалисты из Microsoft, организациям рекомендуется обратить внимание на процесс осуществления атаки, а не ограничиваться изучением только вредоносного кода.

По словам экспертов, в большинстве случаев операторы PonyFinal начинают атаку со взлома учетной записи на сервере управления системами. Преступники с помощью брутфорса получают доступ к учетным записям со слабыми паролями. Получив доступ к серверу, они активируют скрипт Visual Basic, который запускает ПО для сбора и хищения данных.

В ходе атаки злоумышленники могут применить подбор учетных данных для протокола удаленного рабочего стола (Remote Desktop Protocol, RDP) и проэксплуатировать уязвимости в системах. В некоторых случаях операторы PonyFinal тайно размещали среду выполнения Java Runtime Environment (JRE) для запуска вредоноса PonyFinal, а иногда использовали уже установленным JRE на компьютере жертвы.

Вымогательское ПО поставляется через MSI-файл, который содержит два пакетных файла и полезную нагрузку. UVNC_Install.bat создает запланированное задание с именем «Java Updater» и вызывает RunTask.bat, который запускает полезную нагрузку PonyFinal.JAR.

Зашифрованные PonyFinal файлы имеют формат.enc. В настоящее время не существует способов или инструментов для расшифровки данных.

Источники

править
 
Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.