Компания Microsoft опубликовала заявление, в котором опровергла слухи о том, что хакеры применяют эксплоит для проблемы BlueKeep для распространения вымогателя DoppelPaymer, а также сообщила, что злоумышленники не используют Microsoft Teams для размещения шифровальщиков в сетях компаний.
Данные слухи начали распространяться в интернете в начале ноября, после того, как несколько испанских компаний стали жертвами вымогателя DoppelPaymer. Теперь представители Microsoft рассказали, что расследуют недавние атаки шифровальщика и уже сейчас могут сказать, что информация о том, что злоумышленники якобы эксплуатируют Microsoft Teams и RDP-проблему BlueKeep – неправда.
По данным специалистов, распространением малвари занимаются удаленные операторы-люди, использующие для распространения заражения по сети предприятий учетные данные администратора домена.
Довольно странно, что эти слухи в принципе были восприняты серьезно рядом СМИ, ведь уже довольно давно известно, что шифровальщик DoppelPaymer – это вариация вымогателя BitPaymer, который всегда распространялся при помощи ботнетов Dridex и Emotet. Так как операторы ботнетов зачастую продают доступ к внутренним сетям компаний другим злоумышленникам, те извлекают учетные данные и распространяют DoppelPaymer на максимальное количество систем.
Кроме того, единственное официально зафиксированное использование уязвимости BlueKeep на сегодня – это попытки распространения майнера криптовалюты, которые, к тому же, не увенчались большим успехом. Других атак с применением эксплоитов для BlueKeep специалисты пока не фиксировали вовсе.
Более того, как неоднократно объясняли ИБ-эксперты, большая часть вредоносного RDP-трафика — это обычный брутфорс, никак не связанный с BlueKeep.
Yep. Can confirm. https://t.co/4IDOwNfFRq
— boB Rudis (@hrbrmstr) November 21, 2019