Ransomware attacker upp sitt spel _ och kräver lösen
Den genomsnittliga lösesumman efterfrågan är upp till nästan 13 000 dollar, jämfört med $6,700 för bara några månader sedan.
En ransomware gänget har brutit mot den infrastruktur som är av minst tre managed service providers (MSPs) och har använt fjärrkontrollen verktyg till deras dispossal, nämligen Webroot SecureAnywhere konsolen, för att distribuera ransomware på MSPs ” kunder system.
Den ransomware infektioner var först rapporterade idag i en Reddit avdelning för MSPs — företag som erbjuder remote IT-tjänster och stöd till företag i hela världen.
Kyle Hanslovan, grundare och VD av Huntress Lab, var på nätet och hjälpte några av de påverkade MSPs undersöka händelserna.
Hackare kommit in via RDP
Hanslovan sa att hackare har brutit mot MSPs exponeras via RDP (Remote Desktop Endpoints), förhöjda privilegier inne äventyras system, och avinstalleras manuellt AV-produkter, som ESET och Webroot.
I nästa skede av attacken, hackare sökte står för Webroot SecureAnywhere, remote management software (konsol) som används av MSPs att hantera på distans-arbetsstationer som ligger (i det nätverk av deras kunder).
Enligt Hanslovan, hackare används konsolen för att köra ett Powershell-skript på separata arbetsstationer; skript som har laddat ner och installerat Sodinokibi ransomware.
Huntress Lab VD säger att minst tre MSPs hade blivit hackad på detta sätt. Vissa Reddit-användare rapporterade också att i vissa fall, hackare kan ha används också Kaseya VSA remote management console, men detta var aldrig formellt bekräftat.
“Två företag som nämns bara den är värd att köra Webroot var infekterade,” Hanslovan sagt. “Med tanke på Webroot s management console gör det möjligt för administratörer att på distans ladda ner och köra filer till slutpunkter, detta känns som en rimlig angrepp.”
Webroot distribuerar 2FA för SecureAnywhere konton
Senare på dagen, Webroot började våld aktivera tvåfaktorsautentisering (2FA) för SecureAnywhere konton, enligt ett e-postmeddelande Hanslovan fått hopp om att förhindra hackare från att använda någon annan eventuellt kapade konton för att distribuera nya ransomware hela dagen.
SecureAnywhere stöder 2FA, men funktionen är inte aktiverad som standard.
Bild: Kyle Hanslovan
Den Sodinokibi ransomware är en relativt ny ransomware stam, som upptäcktes i slutet av April. På den tiden ett hot skådespelare var med en Oracle WebLogic zero-day att hacka sig in i nätverk av företag och distribuera ransomware.
Dagens händelse är också den andra stora vågen av attacker under vilken hackare utnyttjade MSPs och deras remote management verktyg för att distribuera ransomware på sina kunders nätverk.
Den första händelsen inträffade i mitten av februari när en hacker grupp som används för sårbarheter i de vanligast förekommande MSP verktyg för att distribuera GandCrab ransomware på kunder arbetsstationer.
Av en tillfällighet, vid den tid denna incident var att vara detaljerad på Reddit, lokala media i Rumänien var som rapporterar att de fem sjukhusen hade varit infekterade med ransomware i Bukarest, landets huvudstad. Det finns dock inga bevis för att de två händelserna är kopplade, utanför infektion tidsram.
Relaterade skadliga program och it-brottslighet täckning:
Nya Echobot malware är ett smörgåsbord av vulnerabilitiesFlorida staden betalar $600.000 till ransomware gäng att ha sin data backRussian APT hackad Iranska APT: s infrastruktur tillbaka i 2017Mysterious Iranska gruppen är ett intrång i DNA sequencersNew Plurox malware är en bakdörr, cryptominer, och mask, alla förpackade i oneMicrosoft varnar Azure kunder av Exim masken Mer än 3B falsk e-post som skickas dagligen som phishing-attacker kvarstår TechRepublicGame of Thrones har de mest skadliga av alla piratkopierade TV-show CNET
Relaterade Ämnen:
Affärssystem
Säkerhet-TV
Hantering Av Data
CXO
Datacenter