Computerbeveiligingsexperts hebben ontdekt dat een voorheen onbekende hackersgroep uit Iran de exploit CVE-2017-0213 gebruikt om RDP-servers te targeten en Dharma-ransomwarestalen te implanteren. Dit is een van de meest populaire virusfamilies en er worden dagelijks talloze stammen van gemaakt. Deze aanvallen vertegenwoordigen de voortdurende pogingen van verschillende hackgroepen om dit virus continu in hun campagnes te gebruiken.
CVE-2017-0213 Exploit gebruikt om Dharma Ransomware aan RDP-servers te leveren
Beveiligingsonderzoekers hebben ontdekt dat hackersgroepen afkomstig uit Iran een externe exploit gebruiken om zich te richten kwetsbare RDP-servers. Dit zijn services die worden gebruikt om een externe verbinding tot stand te brengen - ze worden veel gebruikt door ondersteuningsteams en medewerkers die inloggen op bedrijfsnetwerken. Het advies wordt bijgehouden CVE-2017-0213 die zelf is beschreven door Microsoft als een probleem in de Windows COM-functie. Met niet-gepatchte versies van het besturingssysteem kunnen hackers willekeurige code uitvoeren met verhoogde rechten.
De hackers hebben zich geconcentreerd op het leveren van verschillende soorten Dharma ransomware, hun gezamenlijke acties hebben geleid tot de detectie van meerdere beveiligingsincidenten over de hele wereld. Uit het onderzoek hiernaar is gebleken dat de collectieven afkomstig zijn uit Iran. Er zijn verschillende voorbeelden gemaakt door groepen te hacken en zij zullen de gedetailleerde gedragssequentie uitvoeren.
Dharma ransomware-voorbeelden kunnen beide worden geconfigureerd om systeeminstellingen te bewerken, installeer andere bedreigingen en verwerk gebruikersgegevens. Ten slotte zullen ze tekst losgeldnotities maken en een vooraf opgenomen extensie toevoegen aan de gecompromitteerde gegevens. Door deze notitie kunnen de hackers de slachtoffers chanteren om cryptocurrency-activa te betalen.
Deze aanvalscampagne bevat eisen tussen 1 en 5 Bitcoin die laag is in vergelijking met andere vergelijkbare aanvalscampagnes. Het onderzoek toont aan dat de waarschijnlijke aanvalsmethode een geautomatiseerde netwerkaanval wat zal onthullen of er kwetsbare hosts in de geselecteerde netwerken zijn. Een brute-force-programma zal worden geprogrammeerd om automatisch de Dharma-ransomware af te leveren als er een inbreuk wordt gepleegd.
Deze hackaanval laat maar weer eens zien dat het belangrijk is om pas altijd de laatste beveiligingspatches toe, vooral degenen met betrekking tot het besturingssysteem.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: