Ransomware menyerang Target UKM melalui Remote Desktop Protocol

Computer Security News

Sophos peneliti memperingatkan tentang serangkaian ransomware serangan terhadap perusahaan-perusahaan kecil-menengah melalui Remote Desktop Protocol (RDP).

Menurut para ahli, hacker penyalahgunaan password minggu masalah umum dalam serangan mereka. Setelah mengelola retak dan sandi RDP, para penyerang dapat dengan mudah menginstal malware ke sistem perusahaan, berharap untuk mendapatkan pembayaran uang tebusan.

Tim Sophos mengklaim bahwa menemukan RDP Port terkena Internet tidak sulit sama sekali, dan hacker dapat menggunakan mesin pencari khusus seperti Shodan untuk melakukan itu. Setelah itu, para penjahat penyalahgunaan umum atau pribadi alat untuk mendapatkan akses ke mesin rentan.

Para penyerang menggunakan alat yang disebut NLBrute untuk brute force cara mereka ke dalam sistem ditemukan dengan mencoba berbagai RDP password. Segera setelah mereka berhasil menemukan hak sandi, hacker akan segera masuk ke jaringan dan membuat account administrasi mereka sendiri.

Dengan cara ini, penjahat dunia maya dapat menyambung kembali ke jaringan bahkan jika password admin mereka digunakan untuk kompromi awal telah berubah. “Mereka sudah punya account cadangan yang dapat mereka gunakan untuk menyelinap kembali kemudian,” negara ahli.

Kemudian, penjahat men-download dan menginstal sistem tingkat rendah tweaker perangkat lunak, seperti proses Hacker, setelah itu mereka mematikan atau mengkonfigurasi anti-malware aplikasi. Selain itu, para hacker mencoba untuk meningkatkan hak melalui menyalahgunakan kerentanan dikenal, termasuk CVE-2017-0213 dan kekurangan CVE-2016-0099 yang Microsoft telah ditambal sejak lama.

Para hacker Matikan Layanan database untuk membiarkan database target ransomware, matikan layanan cadangan live Windows disebut Volume Shadow Copy dan menghapus backup yang ada untuk mencegah korban untuk memulihkan file target tanpa membayar. Setelah itu, para penyerang upload dan menjalankan perangkat lunak jahat.

Penjahat menuntut tebusan Bitcoin 1 dari korban mereka. Terlepas dari kenyataan bahwa banyak perusahaan yang sudah terkena malware, para hacker Bitcoin dompet menunjukkan satu transaksi sesuai jumlah yang diminta. Menurut para ahli, ini berarti bahwa baik korban tidak dibayar, atau mereka menegosiasikan pembayaran yang lebih rendah.

“Korban serangan semacam ini hampir selalu adalah perusahaan kecil-menengah: bisnis terbesar di penyelidikan kami memiliki staf 120, tapi kebanyakan memiliki 30 atau lebih sedikit,” Sophos tim klaim.

Untuk menjaga aman dari malware, perusahaan disarankan untuk mematikan RDP, atau untuk melindungi baik jika mereka perlu menggunakannya secara teratur. Juga, mereka harus mempertimbangkan menggunakan Virtual Private Network (VPN) untuk koneksi dari luar jaringan mereka, bersama dengan 2-factor authentication (2FA), dan untuk menginstal patch tersedia cepat.


Leave a Reply

Your email address will not be published. Required fields are marked *