Computersicherheitsexperten haben herausgefunden, dass eine bisher unbekannte Hacking-Gruppe aus dem Iran den CVE-2017-0213-Exploit verwendet, um auf RDP-Server abzuzielen und Dharma-Ransomware-Beispiele zu implantieren. Dies ist eine der beliebtesten Virusfamilien, und täglich werden zahlreiche Stämme davon erzeugt. Diese Angriffe stellen die laufenden Versuche verschiedener Hacking-Gruppen dar, diesen Virus kontinuierlich in ihren Kampagnen zu verwenden.
CVE-2017-0213 Exploit zur Bereitstellung von Dharma-Ransomware für RDP-Server
Sicherheitsforscher haben herausgefunden, dass aus dem Iran stammende Hacking-Gruppen einen Remote-Exploit als Ziel verwenden anfällige RDP-Server. Hierbei handelt es sich um Dienste, die zum Herstellen einer Remoteverbindung verwendet werden. Sie werden häufig von Supportteams und Mitarbeitern verwendet, die sich in Unternehmensnetzwerken anmelden. Das Advisory wird nachverfolgt CVE-2017-0213 was selbst ist von Microsoft beschrieben als Problem in der Windows COM-Funktion. Ungepatchte Betriebssystemversionen ermöglichen es den Hackern, beliebigen Code mit erhöhten Berechtigungen auszuführen.
Die Hacker haben sich darauf konzentriert, verschiedene Sorten der zu liefern Dharma Ransomware, Ihre kooperativen Aktionen haben zur Entdeckung mehrerer Sicherheitsvorfälle auf der ganzen Welt geführt. Die Untersuchung hat ergeben, dass die Kollektive aus dem Iran stammen. Verschiedene Beispiele wurden von Hacking-Gruppen erstellt und führen die detaillierte Verhaltenssequenz aus.
Dharma Ransomware-Beispiele können sowohl zum Bearbeiten von Systemeinstellungen konfiguriert werden, Installieren Sie andere Bedrohungen und verarbeiten Sie Benutzerdaten. Schließlich erstellen sie Lösegeldnotizen und fügen den gefährdeten Daten eine zuvor aufgezeichnete Erweiterung hinzu. Durch diesen Hinweis können die Hacker die Opfer erpressen, um Kryptowährungsguthaben zu bezahlen.
Diese Angriffskampagne bietet Anforderungen zwischen 1 und 5 Bitcoin ist im Vergleich zu anderen ähnlichen Angriffskampagnen niedrig. Die Forschung zeigt, dass die wahrscheinliche Angriffsmethode eine ist automatisierter Netzwerkangriff Dadurch wird angezeigt, ob in den ausgewählten Netzwerken anfällige Hosts vorhanden sind. Ein Brute-Force-Programm wird so programmiert, dass die Dharma-Ransomware automatisch bereitgestellt wird, wenn ein Eingriff erfolgt.
Dieser Hacking-Angriff zeigt einmal mehr, dass es wichtig ist Wenden Sie immer die neuesten Sicherheitspatches an, insbesondere solche, die das Betriebssystem betreffen.
Martin Beltov
Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.
Folge mir: