Jak podaje serwis ZDnet, eksperci z firmy CoverWare (zajmującej się badaniem rynku ransomware i negocjacjami z cyberprzestępcami*) odkryli nową odmianę wirusa szyfrującego Dharma, uznanego przez Europol za jednego z najbardziej szkodliwych w 2018 roku. Phobos atakuje podatności w słabo zabezpieczonych protokołach RDP (Remote Desktop Protocol). Jest to technologia jeszcze z lat 90,będąca natywnym sposobem do łączenia się przy użyciu narzędzia zdalnego pulpitu z innym komputerem w sieci.. W ubiegłym roku FBI informowało o zagrożeniach, jakie niosą ze sobą słabo zabezpieczone RDP – czy to przez niezaktualizowane wersje, czy to przez słabe hasła albo otwarte porty. FBI w zeszłym roku ostrzegało, że ataki na podatności w RDP będą się nasilały i będą stanowić jedną z popularniejszych metod na zainfekowanie ofiar. Wbrew powszechnej opinii, RDP nie jest kompletnie bezpieczny. Od 2002 roku, Microsoft załatał krytyczne podatności w RDP 22 razy.
Ransomware Phobos dzieli bardzo dużą część kodu z Dharma, w tym również bardzo podobną wiadomość o okupie. Zawiera jednakże także część kodu innego ransomware – CRySiS i niektóre antywirusy wykrywają Phobos jako CRySiS. Eksperci z CoverWare przypuszczają, że Phobos wywodzi się od tych samych hakerów, co Dharma i może to być coś na wzór „polisy ubezpieczeniowej” na wypadek, gdyby Dharma nie dostarczyła wystarczająco zysku. Zalecamy jak zwykłe robienie częstych backupów (i doglądanie ich), stosowanie sandboxów, oraz posiadanie aktualnych wersji RDP.
*swoją drogą, na takie firmy należy ostatnio uważać. Eksperci z Check Point odkryli firmę Dr. Shifro, która ma odszyfrowywać pliki ofiarom, a w rzeczy samej po prostu płaciła przestępcom okup, po czym wystawiała rachunek klientowi na kwotę okupu, powiększoną o astronomiczną marżę.
Autor: Karol Mondry
Źródła:
zdnet.com
cso.com.au
checkpoint.com
rapid7.com
pancernik.it