Хакер #305. Многошаговые SQL-инъекции
Шифровальщик JungleSec был обнаружен в ноябре текущего года. Малварь поражает машины под управлением Windows, Linux и Mac, и специалистам долго не удавалось понять, каким именно образом вредонос проникает в системы.
Специалисты Bleeping Computer провели собственное расследование, пообщались с пострадавшими владельцами Linux-серверов и обратились за помощью к ИБ-экспертам. Выяснилось, что многие случаи заражения объединяет общий знаменатель: незащищенные интерфейсы IPMI.
IPMI (Intelligent Platform Management Interface) – это интеллектуальный интерфейс управления платформой, предназначенный для автономного мониторинга и управления функциями, встроенными непосредственно в аппаратное и микропрограммное обеспечения серверных платформ. Ключевые особенности IPMI — мониторинг, восстановление функций управления, журналирование и инвентаризация, которые доступны независимо от процессора, BIOS и операционной системы.
Двое пострадавших от JungleSec, рассказали специалистам, что заражение произошло именно через IPMI. В одном случае интерфейс IPMI использовал учетные данные по умолчанию, заданные производителем, во втором случае пользователь Admin вообще был отключен, однако атакующие все равно получили доступ к серверу (предположительно, использовав уязвимости).
Получив доступ к системе, взломщики перезагружали сервер в однопользовательском режиме (single user mode), чтобы получить root-права, а затем скачивали ccrypt. Судя по данным, которые публиковали жертвы, после загрузки ccrypt злоумышленники инициировали ее исполнение вручную и шифровали файлы жертв. После на пострадавшей машине создавалось послание с требованием выкупа (файл ENCRYPTED.md), образец которого можно увидеть ниже. Атакующие требовали за восстановление информации 0,3 биткоина.
Еще один пострадавший сообщил исследователям, что атакующие также оставили после себя бэкдор, который «слушал» TCP порт 64321, а также создали правило для файрвола, разрешающее доступ к этому порту. Использовали злоумышленники эту «закладку», или же нет, понять не удалось.
Журналисты Bleeping Computer предостерегают, что многие жертвы предпочли заплатить выкуп преступникам, но так не получили от них никакого ответа, в итоге не сумев восстановить данные.
В заключение исследователи в очередной раз напоминают о необходимости всегда менять дефолтные пароли на надежные и уникальные, это правило касается абсолютно любых устройств и систем, включая интерфейсы IPMI.