Компания Microsoft предупредила организации об опасности шифровальщика PonyFinal, атаки которого уже были зафиксированы в Индии, Иране и США.

Малварь основывается на Java и используется для атак, которые вручную направляют операторы PonyFinal. То есть хакеры взламывают корпоративные сети и вручную размещают там вымогательское ПО, а не распространяют шифровальщика автоматизировано, через почтовый спам или наборы эксплоитов, как это бывает обычно.

Microsoft сообщает, что, как правило, точкой вторжения выступает учетная запись на сервере управления системами, куда операторы PonyFinal вторгаются при помощи брутфорс атак и подбора слабых паролей. На сервере хакеры деплоят скрипт Visual Basic, который запускает реверс шелл PowerShell для сбора и хищения данных.

Проникнув в сеть целевой компании, злоумышленники распространяю заражение и на другие локальные системы, а затем внедряют сам вымогатель PonyFinal. В большинстве случаев хакеры атакуют рабочие станции, на которых установлена ​​Java Runtime Environment (JRE), так как PonyFinal написан на Java. Но специалисты Microsoft отмечают, что также они фиксировали случаи, когда группировка самостоятельно устанавливала JRE в системах жертв перед запуском шифровальщика.

Зашифрованные с помощью PonyFinal файлы обычно имеют расширение .enc. Схема шифрования PonyFinal считается надежной, то есть пока не существует способов и бесплатных инструментов для расшифровки пострадавших данных.

По данным ИБ-экспертов Майкла Гиллеспи и MalwareHunterTeam, вымогатель PonyFinal появился в начале текущего года, и пока от его активности пострадали считанные единицы компаний, что лишь подтверждает теорию о том, что PonyFinal используется в целевых атаках на тщательно отобранные цели.­

Специалист Emsisoft Майкл Гиллеспи отмечает, что пользователи, которые загружали образцы малвари на сайт ID-Ransomware для идентификации, находились в Индии, Иране и США.

По информации Microsoft, PonyFinal входит в короткий список вымогателей, управляемых живыми операторами. В последнее время такие вредоносы неоднократно применялись против организаций из сектора здравоохранения, невзирая на текущую пандемию коронавируса. Помимо PonyFinal этот список включает: RobbinHood, NetWalker, Maze, REvil (Sodinokibi), Paradise, RagnarLocker, MedusaLocker и LockBit.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии