Эксперты предупредили о новых атаках с использованием вредоноса PonyFinal

Эксперты предупредили о новых атаках с использованием вредоноса PonyFinal

Alexander Antipov

Операторы PonyFinal чаще всего начинают атаку со взлома учетной записи на сервере управления системами.

image

ИБ-специалисты из Microsoft предупредили компании о новых кибератаках с использованием вымогательского ПО PonyFinal. Первые атаки с использованием PonyFinal были зафиксированы в апреле нынешнего года в Индии, Иране и США. Операторы вредоноса также неоднократно атаковали организации в сфере здравоохранения.

Операторы PonyFinal тщательно готовятся к атакам — они взламывают корпоративные сети и вручную устанавливают вредоносное ПО, а не автоматизируют данный процесс. Как отметили специалисты из Microsoft, организациям рекомендуется обратить внимание на процесс осуществления атаки, а не ограничиваться изучением только вредоносного кода.

По словам экспертов, в большинстве случаев операторы PonyFinal начинают атаку со взлома учетной записи на сервере управления системами. Преступники с помощью брутфорса получают доступ к учетным записям со слабыми паролями. Получив доступ к серверу, они активируют скрипт Visual Basic, который запускает ПО для сбора и хищения данных.

В ходе атаки злоумышленники могут применить подбор учетных данных для протокола удаленного рабочего стола (Remote Desktop Protocol, RDP) и проэксплуатировать уязвимости в системах. В некоторых случаях операторы PonyFinal тайно размещали среду выполнения Java Runtime Environment (JRE) для запуска вредоноса PonyFinal, а иногда использовали уже установленным JRE на компьютере жертвы.

Вымогательское ПО поставляется через MSI-файл, который содержит два пакетных файла и полезную нагрузку. UVNC_Install.bat создает запланированное задание с именем «Java Updater» и вызывает RunTask.bat, который запускает полезную нагрузку PonyFinal.JAR.

Зашифрованные PonyFinal файлы имеют формат .enc. В настоящее время не существует способов или инструментов для расшифровки данных.

Подписывайтесь на каналы «SecurityLab» в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Источник: Securitylab