Computersikkerhedseksperter har opdaget, at en tidligere ukendt hackinggruppe fra Iran bruger CVE-2017-0213-udnyttelsen til at målrette RDP-servere og implantere Dharma-ransomware-prøver. Dette er en af de mest populære virusfamilier, og der oprettes adskillige stammer af den dagligt. Disse angreb repræsenterer de igangværende forsøg fra forskellige hackinggrupper til kontinuerligt at bruge denne virus i deres kampagner.
CVE-2017-0213 Udnyttelse brugt til at levere Dharma Ransomware til RDP-servere
Sikkerhedsforskere har opdaget, at hackinggrupper, der stammer fra Iran, bruger en fjernudnyttelse til at målrette sårbare RDP-servere. Dette er tjenester, der bruges til at oprette en fjernforbindelse - de bruges bredt af supportteam og arbejdstagere, der logger på firmaets netværk. Rådgivningen spores ind CVE-2017-0213 hvilket i sig selv er beskrevet af Microsoft som et problem i Windows COM-funktionen. Uudfyldte operativsystemversioner gør det muligt for hackere at køre vilkårlig kode med forhøjede privilegier.
Hackerne har fokuseret på at levere forskellige stammer af Dharma ransomware, deres samarbejdsaktioner har resulteret i afsløring af flere sikkerhedshændelser over hele verden. Undersøgelsen af dette har afsløret, at kollektiverne stammer fra Iran. Der er oprettet forskellige prøver af hackinggrupper, og de udfører den detaljerede opførselssekvens.
Dharma ransomware-prøver kan konfigureres både til at redigere systemindstillinger, installere andre trusler og behandle brugerdata. Endelig vil de oprette tekst løsepenge noter og tilføje en forudoptaget udvidelse til de kompromitterede data. Gennem denne note kan hackerne afpresse ofrene til at betale cryptocurrency-aktiver.
Denne angrebskampagne indeholder krav mellem 1 og 5 Bitcoin, der er lavt sammenlignet med andre lignende angrebskampagner. Undersøgelsen viser, at den sandsynlige angrebsmetode er en automatiseret netværksangreb hvilket afslører, om der er sårbare værter i de valgte netværk. Et brute-force-program vil blive programmeret til automatisk at levere Dharma-ransomware, hvis der sker en indtrængen.
Dette hackingangreb afslører endnu en gang, at det er vigtigt at Anvend altid de nyeste sikkerhedsrettelser, især dem, der vedrører operativsystemet.
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: