Две недели назад мы наблюдали атаку шифровальщика на сервер, принадлежащий одной французской компании. Это был один из вариантов семейства шифровальщиков Crysis. Ежедневно мы видим тысячи попыток заражения со стороны шифровальщиков, но этот случай привлек наше внимание, т.к. файл, каким-то образом, появившийся на компьютере, предположительно никем не использовался и не должен был использоваться, при этом на компьютере не был запущен ни один почтовый агент или Интернет-браузер.
Как он попал на компьютер?
Почему средства безопасности на сервере позволили этому файлу попасть туда? Мы решили найти ответ именно на этот вопрос, а потому начали свое исследование. Оказывается, на этом сервере работает протокол удаленного рабочего стола Remote Desktop Protocol (RDP), и кибер-преступники использовали атаку типа brute force attack, благодаря которой смогли подобрать регистрационные данные и получить удаленный доступ к серверу.
Немного истории: т.к. большинство пользователей не включают двухфакторную авторизацию, а их пароли не являются такими сложными или случайными, то достаточно просто проникнуть на сервер, используя такой тип атаки методом перебора с помощью хорошего словаря или проверяя наиболее часто используемые комбинации. Такая техника не нова. Я помню, больше года назад на испанские компании обрушилась одна волна шифровальщиков, использующих точно такую же технику. Как правило, кибер-преступники осуществляют такие атаки ночью или в течение выходных дней, когда в офисах мало народу или вообще никого нет.
Кибер-преступники проникли на сервер, используя атаку типа brute force, перебирая пароли с помощью хорошего словаря или проверяя наиболее часто используемые комбинации.
В данном случае атака на сервер началась 16 мая, когда они осуществили 700 попыток подключения. Они осуществлялись автоматически, примерно в течение двух часов. Большинство подобных атак осуществлялось в период с 1 до 3 часов или с 3 до 5 часов ночи. Каждый день. Количество попыток подключения менялось: например, 18 мая их было 1976, а 1 июля — 1342.
Спустя почти четыре месяца и выполнив свыше 100 000 попыток подключения, хакеры все же сумели проникнуть на сервер и запустить шифровальщика Crysis.
Это всемирный Crysis
На этой неделе наши коллеги из Trend Micro опубликовали статью, в которой предупредили о подобных атаках, произошедших в Австралии и Новой Зеландии, когда также использовали варианты Crysis. К сожалению, мы можем сказать, что они были не только в этих странах – данные атаки осуществляются во всем мире (по крайней мере, с мая).
Предположим, что Вам необходимо иметь протокол RDP, запущенный и подключенный к Интернету, а потому, помимо мониторинга попыток подключения, который позволит Вам узнать о том, что Вы подвергаетесь атаке, Вам следует также использовать сложные пароли. Самый лучший вариант – это внедрить двухфакторную авторизацию, например, с паролем через SMS, в результате чего подбор паролей станет бесполезным занятием.
Автор статьи: Луис Корронс
Автор: Panda Security в России