Noll
En etablerad botnet och mask malware variant är engagerad i en ny kampanj som syftar till att infektera företaget med GandCrab ransomware.
Phorpiex/Trik är inte sofistikerad. Inte att förväxla med TrickBot bank Trojan, skadlig kod — först upptäcktes i och med 2016 — har spårats under de senaste åren som en distributör för skadlig last inklusive GandCrab, Pushdo, Ponny, och cryptocurrency gruv-malware.
Det skadliga programmet fokuserar på infekterar Windows-enheter och försök att sprida via USB-hårddiskar, flyttbara lagringsmedia och spam.
“Phorpiex som en familj av skadlig kod har funnits i flera år och har inte förändrats mycket i syfte, funktion eller kod,” forskare från Själf säga. “Den skadliga koden i sig är inte det otroligt avancerade, har minimal skatteflykt, är ofta inte packad under leverans, och är inte särskilt diskret när det kommer till att släppa filer på disk eller använda hårdkodade strängar där mer avancerade malware familjer skulle vara med randomiserade tecken.”
Lite har ändrats i många år, men säkerhet forskare från SecurityScorecard har nu upptäckt en ny variant av skadlig kod som fokuserar på användningen av ransomware mot organisationer över hela världen.
Varianten i fråga har fått möjlighet att rikta-Datorer och slutpunkter i företagens nätverk som är verksamma server-sidan remote access-program med dåligt implementerade protokoll.
“Med ett ökande antal företag som erbjuder remote-arbete personaloptioner till sina anställda, många av företagens endpoints kan vara att köra dessa program,” sade företaget.
Phorpiex/Trik kommer att skanna nätet för Internet-inför Remote Desktop Protocol (RDP) och Virtual Network Computing (VNC) som effektmått, via port 5900. I slumpmässig ordning, dessa ändpunkter är då riktade med brute-force attacker.
Botnät tester ett antal svaga användarnamn och lösenord kombinationer, inklusive “12345678” och “admin” “qwerty” eller “servidor,” och “vnc123.” Om svaga referenser är i bruk och de protokoll som har varit bristfälligt, botnät infiltrera systemet och använda den slutpunkt som ett medel för att installera skadlig kod på företagets nätverk.
I en intervju med ZDNet, Paul Gagliardi, chef för hot intelligens på SecurityScorecard sade ransomware i hjärtat av den nya kampanjen är GandCrab, särskilt virulent form av ransomware som har krävt tiotusentals offer över hela världen.
När detta ransomware stam har infekterat ett system, filer är krypterade och brottsoffer tvingas betala lösensummor av allt från några hundra dollar till flera tusen.
Denna vecka, version 5 av ransomware släpptes som kräver betalning i Streck eller Bitcoin cryptocurrencies. Dock Phorpiex/Trik-kampanjen verkar för att sprida version 4 för närvarande.
Läs om: ta Bort ransomware infektioner från din DATOR med detta gratis verktyg | Hit av ransomware? Denna nya gratis dekryptering verktyg för GandCrab kan hjälpa
För att spåra variant, säkerhet betyg fast skapat ett antal gropar som bygger på inaktiva Phorpiex domäner. Laget har också etablerat honeypots, maskerad som infekterade produkter och begära anvisningar från kommando-och-kontroll (C2) server.
Totalt 68 000 kronor unika IP-adresser har spårats som är infekterade med Phorpiex/Trik, men Gagliardi säger att detta är bara en “liten del” i samband med botnät.
CNET: Nya ransomware kan förvandla din dator till en hacker verktyg
Säkerhet forskaren sade att utbyggnaden av ransomware är en intressant hitta för detta botnet som detta kan anses besläktad med att “blåsa deras cover” på företagets nätverk. Efter alla, som ransomware normalt låser ner datorn system, krypterar filer och kräver en betalning, det är “uppenbart att du var där” som ett hot skådespelare.
TechRepublic: Ransomware: En lathund för proffs
Det finns dock vissa belägg som tyder på att aktörerna bakom systemet är att vara lite selektiv i sina mål, med fokus på länder som är “ekonomiskt välbeställda.”
Usa, Kanada, Japan, och Australien är bland de mest allmänt riktade.
Men operatörerna har inte anses vara mycket sofistikerade i sina metoder eller taktik, och så spear phishing backas upp av social ingenjörskonst eller fokuserad angrepp på särskilda enheter som inte tycks ta plats.
Det kan bara bli gissningar, men Gagliardi menar att det är möjligt att botnät infrastruktur som hyrs ut — eller delvis säljs — att de som är ansvariga för ransomware-baserade attacker.
Se även: Kvinna åberopat sig skyldig till dataintrång polisens övervakningskameror
För att minska hotet från infektion, Gagliardi rekommenderar att företag upprätthålla god säkerhet, hygien och upprätthålla ett anständigt krav på säkerhet för endpoint enheter.
“Du ska inte ha en VNC-server med Internet-kontakt alls, men vi ser tusentals implementationer hela tiden,” Gagliardi. “Dessa är inte super sofistikerade aktörer och så om du inte kan stanna på toppen av dem, som du har förmodligen andra problem med säkerhet.”
Tidigare och relaterade täckning
Träffa ransomware som sliter ansiktet av före detta president Barack Obama Nigelthorn malware stjäl Facebook referenser, gruvor för cryptocurrency Open-source sårbarheter plåga företag codebase system
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0