Esperti di sicurezza informatica hanno scoperto che un gruppo di hacker precedentemente sconosciuto dall'Iran sta utilizzando l'exploit CVE-2017-0213 per prendere di mira i server RDP e impiantare campioni di ransomware Dharma. Questa è una delle famiglie di virus più popolari e ne vengono creati numerosi ceppi su base giornaliera. Questi attacchi rappresentano i tentativi in corso di vari gruppi di hacker di utilizzare continuamente questo virus nelle loro campagne.
CVE-2017-0213 Exploit utilizzato per fornire Dharma Ransomware ai server RDP
I ricercatori della sicurezza hanno scoperto che gruppi di hacker originari dell'Iran stanno usando un exploit remoto per mirare server RDP vulnerabili. Si tratta di servizi che vengono utilizzati per stabilire una connessione remota: sono ampiamente utilizzati dal team di supporto e dai lavoratori che accedono alle reti aziendali. L'avviso viene tracciato in CVE-2017-0213 che è di per sé descritto da Microsoft come un problema nella funzionalità COM di Windows. Le versioni del sistema operativo senza patch consentono agli hacker di eseguire codice arbitrario con privilegi elevati.
Gli hacker si sono concentrati sulla fornitura di diversi ceppi di Dharma ransomware, le loro azioni di cooperazione hanno portato al rilevamento di molteplici incidenti di sicurezza in tutto il mondo. L'inchiesta in merito ha rivelato che i collettivi provengono dall'Iran. Diversi campioni sono stati creati da gruppi di hacker che eseguiranno la sequenza dettagliata del comportamento.
I campioni di ransomware Dharma possono essere configurati sia per modificare le impostazioni di sistema, installare altre minacce ed elaborare i dati degli utenti. Infine creeranno note di riscatto di testo e aggiungeranno un'estensione preregistrata ai dati compromessi. Attraverso questa nota gli hacker possono ricattare le vittime affinché paghino risorse di criptovaluta.
Questa campagna di attacco presenta richieste tra 1 e 5 Bitcoin che è basso rispetto ad altre campagne di attacco simili. La ricerca mostra che il probabile metodo di attacco è un attacco di rete automatizzato che rivelerà se ci sono host vulnerabili nelle reti selezionate. Un programma di forza bruta sarà programmato per inviare automaticamente il ransomware Dharma se viene effettuata un'intrusione.
Questo attacco di hacking rivela ancora una volta che è importante applica sempre le ultime patch di sicurezza, soprattutto quelli riguardanti il sistema operativo.
Martin Beltov
Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.
Seguimi: