[You must be registered and logged in to see this image.]Специалисти по информационна сигурност съобщиха за засилени атаки с особен тип
криптозаплаха, насочени основно към медицински заведения и компании. Атаките с помощта на рансъмуер заплахата
Samsam всъщност са толкова масови, че канадските власти, ФБР и американският CERT екип издадоха официални предупреждения, заедно с препоръки за предпазване от вируса.
Особеното на атаките, провеждани посредством
Samsam (или Samas) е, че те са
насочени към организации и компании, а не към директно към крайни потребители и това, че за
инфектирането на системите не се изисква потребителска намеса - рядко срещан метод за разпространение на рансъмуер заплахи. Най-често, компютърните потребители стават жертва на криптовирусна заплаха след отварянето на приложен зловреден файл в имейл, инсталиране на софтуер или последване на зловредна интернет връзка. В този случай обаче нещата са различни. Организаторите на атаките чрез Samas сканират сървъри за наличието на непокрити уязвимости, след което проникват в тях и доставят зловреден код към крайните точки, поддържани от сървъра.
Основният вектор на атака, засечен от специалистите от Microsoft и
Talos Security (Cisco) е чрез експлоатиране на уязвимост в приложни сървъри JBoss, използвайки популярен инструмент за тестване за наличието на уязвимости. Веднъж проникнала в сървъра, атакуващата страна търси авторизираща информация и се възползва от откраднатите данни да достави зловреден код към крайните точки, триейки Shadow Volume копията,
правещо невъзможно безпроблемното връщане на информацията, посредством вградените в Windows инструменти. Samas криптира данните със силно ниво на защита, което не може да бъде разбито, след което отправя искането за откуп.
[You must be registered and logged in to see this image.]В края на март, екипите на Avira и
MBAM алармираха на свой ред за разпространението на друг тип криптозаплаха с името
Maktub Locker. За разлика от Samas, авторите му не използват някакви по-особени методи за разпространение. Това върху, което акцентират специалистите е добре създадените инструкции от страна на атакуващата страна, които да ориентират жертвите как да платят откуп, за да получат данните си обратно. Разпространението се осъществява по стандартния начин - чрез приложени файлове в електронни писма - в случая .RTF и .pdf. Файловете са с име
TOS_update и любопитното е, че всъщност наистина показват смислено свързан текст. При отварянето на файла обаче, процеса по криптиране на данните стартира, а добавените разширения са случайно генерирани, като самите файлове биват компресирани, което е нещо ново, отбелязват от Avira. Те анализират подробно малуер пробите, до които са получили достъп, отбелязвайки сложните методи, посредством които авторите на заплахата крият дейността и присъствието на зловредната програма от анализатори на зловреден код и специалисти по информационна сигурност. Подобно и на други срещани досега подобни програми, ако сте с руска локализация на машината, може да си отдъхнете, защото Maktub е инструктиран да
не се изпълнява на системи на рускоговорящи.За да минимизирате щетите, нанасяни от подобна заплаха не забравяйте да архивирате често данните си. Използвайте ограничен акаунт и винаги обновявайте софтуера и операционната си система. Използвайте защитен софтуер и е забравяйте винаги да проявявате съобразителност и внимание в Интернет.
Що се отнася до администриращите JBoss Application Serverс сървърни системи и Samas заплахата, то може да се допитате до обновения вчера бюлетин на Red Hat, адресиращ проблема.
/kaldata.com
Portal 
Индекс 
Последни снимки 
Регистрирайте се 
Вход 
