Авторите на рансъмуер заплаха са успели да заразяват цели мрежи в Европа и САЩ, генерирайки си по този начин печалба от близо половин милион долара. За това разказват в материал от вчера на страниците на блога си специалистите от Javelin-Networks. Става дума за позната от миналата година заплаха – Samas – която използва Active Directory за своето разпространение, като обект на атаките им са основно здравни организации.
Атаките са им сложни и поетапни и включват използването на експлойт за вече запушена уязвимост, зловредна програма, крадяща данни за вписване, вградени в операционната система инструменти и накрая криптовирус, а векторите му за разпространение са разнообразни. Всичко започва с търсенето на корпоративни машини и тестването им срещу позната уязвимост в JBoss JMX-Console (CVE-2010-0738), което им осигурява вход в мрежата. Веднъж влезли в нея, атакуващите използват зловредна програма от семейството на Bladabindi, посредством която успяват да откраднат авторизационни данни и записи.
„Следващото нещо, от което е нуждаят е да идентифицират жертвите си, за да могат да ги криптират. Най-безшумният и най-ефективен начин е да използват Active Directory. Защо? Тъй като тя съдържа цялата информация за корпорацията. Това е база данни за всички потребители, крайни точки, приложения и сървърите. Звучи като златна мина? Сбъднатата мечта на престъпника? Ами, прави сте. Това е сбъдната мечта. Всичко, което е нужно да сторят е да кажат: „Абракадабра“ и информацията се появява. Няма магия тук, но и не сте далеч от това. Просто заменете това „абракадабра“ с уиндоуския инструмент CSVDE и готово – всички крайни точки се появяват. Използвайки само една команда, атакуващата страна получава достъп до данните без опасност от засичане. Това, което е нужно сега да направи е да види кои са живи посредством използването на PING командата“, пишат от Javelin.
„Те се сдобиват с администраторските данни за вписване в домейна и идентифицират жертвите си чрез AD. Така сега той е готов да започне инфектирането. Нека ви заявя, че тези данни за вписване в домейна му дават пълен достъп до ВСЕКИ компютър в домейна. Мислете за това като универсален ключ, способен да отключи всеки компютър“. Използвайки вграден в Windows инструмент (psexec) организаторите на атаката инсталират рансъмуер модула. Samas действа като класически интернет червей и веднъж попаднал в компрометираната мрежа започва саморазпространението си
Криптовирус използва Active Directory за инфектиране на цели мрежи