Kampania ransomware zarobiła już ponad 200 tys. dol. Specjaliści ds. cyberbezpieczeństwa ostrzegają, że pojawił się nowy atak na Windows, który był w stanie złamać zabezpieczenia. Ofiarą jest amerykańska sieć hotelarska, a atak był możliwy do przeprowadzenia, bo jej serwery Microsoft Exchange nie były zaktualizowane.
Sophos, firma zajmująca się bezpieczeństwem IT, ujawniła, że oprogramowanie ransomware napisane w języku programowania Go ma nazwę Epsilon Red. Hakerzy oczekują okupu – firma ma zapłacić pieniądze, by odzyskać dostęp do danych. Z tego co ustaliła Sophos, 15 maja wpłynął już okup w wysokości 4,29 BTC (Bitcoin), bo hakerzy oczekują zapłaty w kryptowalucie. W tym dniu BTC miał wycenę 50 tys. dol. Tak więc łącznie daje to ponad 210 tys. dol.
Ranking: Internet Security
Serwery Microsoft Exchange niestety nie były zaktualizowane
“Wygląda na to, że firmowy serwer Microsoft Exchange był punktem wejścia hakerów do sieci ofiary. Nie jest jasne, czy było to możliwe dzięki exploitowi ProxyLogon, czy innej luce w zabezpieczeniach. Wydaje się prawdopodobne, że główną przyczyną był niezałatany serwer Exchange” – twierdzi Andrew Brandt, specjalista z Sophos.
Kiedy już ransomware Epsilon Red trafił do sieci firmy hotelarskiej, wykorzystał rozwiązanie Windows Management Instrumentation, aby zainstalować inne oprogramowanie na dowolnej maszynie znajdującej się w sieci, a następnie uzyskał dostęp do Exchange’a. Jak twierdzi Sophos, podczas ataku cyberprzestępcy uruchamiają serię skryptów PowerShell, aby przygotować zaatakowane maszyny na wprowadzenie ransomware’u. To “przygotowanie” obejmuje m.in. usuwanie kopii bezpieczeństwa, aby ofiara nie mogła przywrócić stanu maszyny sprzed ataku.
Samo oprogramowanie ransomware szyfruje pliki, uniemożliwiając do nich dostęp. Możemy wówczas odzyskać dostęp, jeśli zapłacimy okup – tak przynajmniej postępują cyberprzestępcy. Niestety, wiele firm przekazuje pieniądze, a samych hakerów trudno później namierzyć.
Zobacz też:
Dyski SSD Cigent z wbudowaną ochroną przeciw ransomware
Acer padł ofiarą ataku
Źródło: Tech Radar.com