SOS :: Security Operation Space
28 марта, четверг, 00:00
|
Hot News:

JungleSec атакует Linux-серверы через интерфейс IPMI

27 декабря 2018 г., четверг, 14:50

Зловред шифрует файлы, требует выкуп и оставляет на зараженном устройстве бэкдор.

Специалисты портала Bleeping Computer рассказали о вредоносной кампании JungleSec, авторы которой проникают на серверы через интерфейс IPMI и шифруют файлы, требуя выкуп. В ряде случаев киберпреступники атаковали целевые устройства в ручном режиме, самостоятельно подавая команды для кодирования информации. Эксперты связались с двумя пострадавшими и выяснили у них детали нападения.

Шифровальщик JungleSec появился на радарах исследователей летом 2018 года. Программа заражала серверы под управлением Linux и добавляла к закодированным файлам расширение .jungle@anonymousspeechcom. Позже зловред также атаковал устройства под управлением Windows и macOS. Теперь стало известно, что злоумышленники используют в качестве точки входа интерфейс IPMI, предназначенный для удаленного администрирования системы.

Эксперты Bleeping Computer выяснили, что в одном из случаев киберпреступники проникли на целевой сервер при помощи дефолтного пароля к IPMI, а в другом — через брешь в интерфейсе. Чтобы получить root-привилегии, злоумышленники перезагрузили скомпрометированные компьютеры в однопользовательском режиме и установили на них бесплатный шифровальщик сcrypt.

Как сообщил один из пострадавших, киберпреступники вручную запустили процесс кодирования, задав пароль для восстановления информации. Мошенники создали на компьютере файл ENCRYPTED.md с требованием выкупа в размере 0,3 биткойна за восстановление файлов. Кроме того, злоумышленники попытались зашифровать данные внутри запущенных на сервере виртуальных машин и установили на устройство бэкдор, который позволяет открыть соединение через TCP-порт 64321.

Интерфейс IPMI используется для удаленного администрирования серверных систем в большинстве встроенных BMC-контроллеров. Ранее исследователи уже демонстрировали уязвимость этих компонентов. Ученым удалось атаковать контроллер через протокол Keyboard Controller Style (KCS). В рамках эксперимента ИБ-специалисты компании Eclypsium сумели не только взломать BMC, но и полностью стереть прошивку модуля UEFI, сделав устройство неработоспособным.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
19:45
17:45
14:45
12:45
11:45
09:45
09:45
19:45
18:45
16:45
15:45
14:45
13:45
10:45
10:45
09:45
19:45
19:45


© 2013—2024 SOS :: Security Operation Space (Пространство Операций Безопасности)  // AMS  // Обратная связь  | 0.078
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.