Между третото и четвъртото тримесечие на миналата година, средният от куп, поискан при атака за износ на данни, нарасна със 104%, достигайки 84,116 долара. Въпреки това, някои варианти на извличане на софтуер изискват още повече, особено ако злонамереният софтуер е насочен към големи компании, както е в случая с Ryuk. Като се има предвид, че този износ на софтуер е насочен към корпоративната среда, като се фокусира върху Enterprise сегмента, той изисква среден откуп от над 1,3 милиона долара.
Високите разходи обаче не са единствената опасност, свързана с подобна атака; нова, все по-разпространена тенденция сред операторите на ransomware е да комбинират атаките си с нарушаване на данните. По този начин киберпрестъпниците са откраднали данни, чрез които могат да се опитат да си осигурят приходи, ако жертвата не плати откупа, което също служи за изнудване на жертвата. Малко преди това Microsoft предупреди за нов щам за откуп, който съчетава тези две тактики.
PontFinal: Нова ръчно управлявана софтуерна защита
В края на май тази година, технологичният гигант публикува поредица от туитове, в които предупреждава за нов щам от базирания на Java софтуер, наречен PonyFinal, който също открадва данните на жертвите си. Както обяснява Microsoft, този нов софтуер за откупуване се управлява ръчно от киберпрестъпници, за разлика от комбинираните варианти, които се разпространяват автоматично.
Как работи PonyFinal
За да влязат в системата на жертвата си, операторите на PonyFinal извършват груба атака срещу Microsoft System Management Server (SMS). Следващата стъпка е да разгърнете VBScripit, за да стартирате обратна обвивка на PowerShell, което позволява на атакуващите да ексфилтрират данни на C&C сървър. В тази фаза на атаката нападателите също така стартират система за отдалечено манипулиране, за да заобиколят регистрирането на събития.
В определени случаи атакуващите стартират Java Runtime Environment (JRE), която PonyFinal трябва да стартира, тъй като е базирана в Java. Съществуват обаче доказателства, че нападателите използват информация, открадната от SMS, за да могат да се насочват към крайни точки, където JRE вече е инсталиран. Това означава, че компаниите, които вече имат инсталиран JRE, може да са слепи за тази атака.
PonyFinal се доставя чрез MSI файл, който съдържа два пакетни файла и полезния товар на ransomware. UVNC_Install.bat създава планирана задача, наречена „Java Updater“, и извиква RunTask.bat, който изпълнява полезния товар, PonyFinal.JAR.
Операторите чакат идеалния момент …
Microsoft обясни, че операторите PonyFinal изчакват точно определен час и дата, за да криптират файловете на жертвата си. Подобно на други подобни ръчно управлявани софтуерни продукти, операторите на PonyFonal са в очакване на най-подходящия момент за разгръщане на полезния товар. В случай на последните атаки срещу болници, този момент беше в началото на април, в разгара на пандемията COVID-19.
Решението: Корекции и мониторинг
За да спре PonyFinal да влиза в корпоративните системи, Microsoft препоръчва на организациите да намалят повърхността на атаката, като гарантират, че всички активи, обърнати към Интернет, се актуализират със съответните корекции. Това е особено важно за VPN и други инструменти за отдалечен достъп, които са били използвани повече от всякога по време на пандемията. Също така е жизненоважно да се извършват чести одити за неправилни конфигурации и уязвимости.
Много организации често имат проблеми с приоритизирането и прилагането на съответните пачове. Ето защо Panda Security има решение да оптимизира процеса на откриване, планиране и инсталиране на кръпки с Panda Patch Management. Това решение осигурява видимост в реално време на чакащи пачове и актуализации, както и на неподдържан и EoL софтуер. По този начин можете да сте сигурни, че винаги разполагате с необходимите пачове, за да гарантирате, че вашата компания е в безопасност.
Microsoft също препоръчва сканиране за груба сила. Panda Adaptive Defense постоянно следи цялата активност в ИТ системата. Спира всякаква подозрителна активност, дори и най-напредналите киберпрестъпления, преди те да нанесат някакви щети.
PonyFinal, Ryuk и Netwalker са някои от новите варианти за извличане на софтуер, които създават проблеми в ИТ системите през 2020 г. Защитете вашата организация срещу тези и всякакви други заплахи с пакета за киберсигурност Adaptive Defense 360.
Източник: Panda Media Center
За Panda Security
Превърнала се в един от водещите световни разработчици на решения за ИТ сигурност, Panda Security има представителства в 80 страни и милиони потребители в повече от 195 държави. Предлага продукти, адаптирани на 23 езика. Обновявайки решенията си компанията постоянно внедрява нови модели и технологии и повишава ефективността си в борбата с интернет заплахите. Благодарение на модула за сигурност Tru Prevent и технологията Collective Intelligence всяко решение предпазва максимално ценната ИТ информация, както от познати заплахи, така и от все още некласифицирани опасности. Panda Security се старае да улесни своите клиенти в съответствие с фирмения си девиз: „Една стъпка преди” всеки нов зловреден код (вирус, шпионски код, спам и др.).
Panda Security си сътрудничи със Special Olympics, WWF и Invest for Children, което е част от корпоративната политика на фирмата за социално отговорно поведение.
За допълнителна информация:
AntivirusBG – Официален представител на Panda Security за България
София: 02/ 813 28 11
Пловдив: 032/ 62 16 08