Val okužb z izsiljevalskimi virusi preko storitev za oddaljen dostop

Ljubljana, 31. maja - Slovenski odzivni center za obravnavo incidentov s področja varnosti elektronskih omrežij SI-CERT je zaznal močan porast števila okužb z izsiljevalskimi virusi, ki jih napadalci namestijo preko vdorov v storitve za oddaljen dostop do namizja računalnika. Napadalci za odklepanje šifriranih datotek zahtevajo plačilo v višini do 10.000 evrov.

Ljubljana.
Računalnik, tipkanje, internet, tehnologija, programiranje, digitalno znanje.
Foto: Tamino Petelinšek/STA
Arhiv STA

Tarča so sistemi, ki imajo javno odprt dostop do katere od storitev, ki se uporabljajo za oddaljen nadzor in upravljanje s sistemom, npr. Remote Desktop (Oddaljeno namizje), Team Viewer in VNC.

Napadi so usmerjeni predvsem na podjetja in organizacije, saj se storitve za oddaljeni dostop najpogosteje uporabljajo ravno v poslovnih okoljih, običajno za dostope do strežniške infrastrukture, so danes še sporočili iz SI-CERT.

Napadalci gesla za dostop najpogosteje pridobijo z ugibanjem različnih kombinacij najpogostejših uporabniških imen in gesel ali pa te podatke predhodno pridobijo prek okužb računalnikov, ki dostopajo do storitve za oddaljen dostop.

Sezname sistemov z odprtimi vrati za oddaljen dostop s pripadajočimi uporabniškimi imeni in gesli napadalci lahko tudi kupijo oz. pridobijo na črnih trgih v skritem delu spleta (darkweb).

Po vdoru napadalci izklopijo varnostne mehanizme, kot so antivirusni program, sistem HIPS in požarni zid, nato pa na sistem običajno prenesejo zlonameren izvršljiv program oz. virus, ki zašifrira vse datoteke, do katerih ima dostop - lokalne datoteke ter datoteke na priključenih zunanjih in omrežnih pogonih.

V nekaterih primerih so napadalci uporabniške datoteke prenesli na posebno particijo na disku, ki so jo zašifrirali z vgrajenim orodjem Bitlocker.

Po zašifriranju datotek napadalci na namizju pustijo obvestilo z navodili za odkup šifrirnega ključa v kripto valuti bitcoin. Napadalci praviloma zahtevajo, da se stopi v stik z njimi po elektronski pošti. Razpon odkupnine je običajno med 0,5 in pet bitcoini - glede na trenutno vrednost bitcoina je to med 1000 in 10.000 evri.

SI-CERT uporabnikom v primeru, da pride do uspešnega vdora in zašifriranja datotek, svetuje, da zlorabljen sistem izklopijo iz omrežja in na novo postavijo, datoteke pa restavrirajo iz varnostne kopije. Če te ni na voljo, se uporabniki lahko po pomoč glede možnosti povrnitve datotek brez plačila odkupnine obrnejo na SI-CERT.

Plačilo odkupnine močno odsvetujejo. Če se uporabniki vseeno odločijo za to možnost, se z napadalcem lahko poskusijo dogovoriti za nižjo odkupnino, pred plačilom pa naj od napadalca zahtevajo, da testno odšifrira nekaj datotek.

Več informacij je na voljo na https://www.cert.si/si-cert-2017-04/.

arh/jes
© STA, 2017