Отключение брандмауэров и боковое перемещение по сети — старые приёмы в новом исполнении.
Киберпреступники используют уязвимые серверы Microsoft SQL ( MS-SQL ) для распространения Cobalt Strike и вымогательского ПО FreeWorld. Об этом Для просмотра ссылки Войдиили Зарегистрируйся исследователи Securonix , которые дали этой вредоносной кампании условное название «DB#Jammer».
По словам специалистов, злоумышленники сначала получают доступ к уязвимому серверу путём банального перебора паролей, а затем используют его для сбора информации о сети жертвы и установки вредоносных программ. Далее они отключают брандмауэр и подключаются к удалённым ресурсам для загрузки дополнительных инструментов, таких как Cobalt Strike.
После этого хакеры производят боковое перемещение по сети и устанавливают на скомпрометированные хосты легитимную программу для удалённого доступа AnyDesk и вымогательское ПО FreeWorld. Также сообщается, что злоумышленники пытались настроить постоянство удалённого доступа с помощью сервиса Ngrok , но безуспешно.
Эксперты рекомендуют организациям принять меры по усилению кибербезопасности, чтобы минимизировать риски подобных атак. В частности, необходимо использовать сложные пароли, регулярно обновлять ПО, делать резервные копии данных и проводить обучение сотрудников основам кибергигиены.
Также важно установить современные средства защиты от вредоносного ПО и вовремя устанавливать любые исправления уязвимостей. Комплексный подход к информационной безопасности — залог защиты от вымогателей и других киберугроз.
Киберпреступники используют уязвимые серверы Microsoft SQL ( MS-SQL ) для распространения Cobalt Strike и вымогательского ПО FreeWorld. Об этом Для просмотра ссылки Войди
По словам специалистов, злоумышленники сначала получают доступ к уязвимому серверу путём банального перебора паролей, а затем используют его для сбора информации о сети жертвы и установки вредоносных программ. Далее они отключают брандмауэр и подключаются к удалённым ресурсам для загрузки дополнительных инструментов, таких как Cobalt Strike.
После этого хакеры производят боковое перемещение по сети и устанавливают на скомпрометированные хосты легитимную программу для удалённого доступа AnyDesk и вымогательское ПО FreeWorld. Также сообщается, что злоумышленники пытались настроить постоянство удалённого доступа с помощью сервиса Ngrok , но безуспешно.
Эксперты рекомендуют организациям принять меры по усилению кибербезопасности, чтобы минимизировать риски подобных атак. В частности, необходимо использовать сложные пароли, регулярно обновлять ПО, делать резервные копии данных и проводить обучение сотрудников основам кибергигиены.
Также важно установить современные средства защиты от вредоносного ПО и вовремя устанавливать любые исправления уязвимостей. Комплексный подход к информационной безопасности — залог защиты от вымогателей и других киберугроз.
- Источник новости
- www.securitylab.ru