SOS :: Security Operation Space
16 сентября, понедельник, 00:00
|
Hot News:

Вымогатель Mongo Lock обзавелся новым сканером

05 апреля 2019 г., пятница, 15:13

Зловред Xwo рыщет по Интернету в поисках уязвимых корпоративных баз, систем обработки данных и FTP-серверов.

Исследователи из AT&T Alien Labs обнаружили онлайн-сканер, определяющий цели для вымогателя Mongo Lock. Под угрозой корпоративные хранилища, веб-серверы и прочие системы работы с данными.

Зловред Mongo Lock атакует корпоративные базы, администраторы которых не установили должный уровень защиты. Обнаружив такое хранилище, он копирует с него данные и удаляет информацию, требуя от пострадавшей организации выкуп. В 2018 году эксперты сообщали, что в зависимости от кампании сумма составляла 0,1–0,6 BTC.

Новый сканер получил название Xwo по имени основного исполняемого файла. Он атакует базы данных под управлением MySQL, PostgreSQL, MongoDB, FTP-сервисы, а также системы хранения Redis и Memcached. Зловред также проверяет наличие специальных утилит, отвечающих за синхронизацию с внешними источниками, чтобы по возможности дотянуться и до них. Отдельный модуль отвечает за работу с контейнером веб-приложений Apache Tomcat.

На всех этих узлах Xwo пытается авторизоваться с помощью заводских учетных данных или через пробелы в настройках. Результаты, положительные и негативные, он передает на удаленные серверы. Примечательно, что преступники использовали домены, созвучные наименованиям ИБ-компаний и СМИ, связанных с IT. Именно по их IP-адресам исследователи установили связь Xwo и Mongo Lock — вымогатель обменивался данными с теми же узлами.

В настоящий момент усилиями ИБ-специалистов вся эта инфраструктура уже отключена. Антивирусные системы также блокируют активность Xwo, хотя технически его действия не попадают в зону их ответственности — он только собирает информацию, не причиняя прямого ущерба.

По словам исследователей, код сканера построен на базе зловреда Xbash, который стоит на службе группировки Iron. Он объединяет в себе функции вымогателя и криптоджекера, взламывая незащищенные Windows- и Linux-серверы. Жертвам Xbash оказывается бессмысленно платить выкуп, поскольку он удаляет данные безвозвратно.

Эксперты затрудняются однозначно ответить, кто стоит за атаками Xwo. Это может быть как та же Iron, так и другая группа злоумышленников, которая использует публично доступный код. В настоящий момент специалисты призывают системных администраторов проверить настройки хранилищ и приготовиться к ужесточению атак — по их мнению, вредоносный потенциал нового сканера еще не раскрылся в полную меру.

Ваш голос учтён!
нравится
не нравится Рейтинг:
1
Всего голосов: 1
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
06:24
14:40
14:15
13:15
11:15
09:15
08:15
07:15
06:15
06:03
17:36
16:23
13:15
12:15
10:15
09:54
09:15
07:15


© 2013—2019 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.390
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.