Забуте, невиправлене та застаріле програмне забезпечення є ідеальною точкою входу для кіберзлочинців. Це також стосується поточного випадку атаки програм-вимагачів, яка використала програмне забезпечення Adobe ColdFusion 11-річної давності на сервері.
Компанія Sophos виявила особливо складну атаку під назвою Cring Ransomware Exploits Ancient ColdFusion Server. Оператори програм-вимагачів Cring атакували свою жертву після того, як зламали сервер, на якому запущена 11-річна версія програмного забезпечення Adobe ColdFusion без виправлень. Жертва використовувала сервер для збору електронних таблиць і облікових даних для нарахування заробітної плати, а також для розміщення кількох віртуальних машин. Зловмисники проникли на веб-сервер за кілька хвилин і запустили програму-вимагач через 79 годин.
Злочинці використовували складні методи
Розслідування Sophos показало, що зловмисники використовували автоматизовані інструменти для сканування веб-сайту жертви як перший крок. Коли вони дізналися, що на сервері працює невиправлена версія ColdFusion, вони змогли зламати за лічені хвилини. Після цього вони використовують особливо витончені методи приховування: вони ініціюють кодування коду в пам’яті та приховують сліди, перезаписуючи файли, що містять пошкоджені дані або видалені журнали та інші артефакти, які шукачі загроз використовують у своїх розслідуваннях. Хакерам також вдалося вимкнути продукти безпеки, оскільки функція захисту від несанкціонованого доступу була вимкнена. Нарешті вони опублікували примітку про те, що вони викрали дані, які вони оприлюднять, якщо «гарна угода» не відбудеться.
Старе програмне забезпечення є небезпечним шлюзом
«Пристрої, на яких працює вразливе та застаріле програмне забезпечення, є саме тими шлюзами, які кіберзлочинці шукають як найпростіший шлях до своєї жертви. Програма-вимагач Cring не нова, але рідкісна. У розглянутому випадку метою атаки була сервісна компанія, де двері для атаки відкрив лише інтернет-сервер із застарілим і невиправленим програмним забезпеченням. Дивно, що цей сервер використовувався щодня. Часто найбільш уразливими пристроями є неактивні пристрої, про які забули або пропустили під час оновлення чи виправлення. Але незалежно від статусу (активний чи неактивний) невиправлені сервери або пристрої з доступом до Інтернету є основними цілями для кіберзлочинців, які шукають уразливі точки входу. Тому ІТ-адміністратори повинні мати точний перелік усіх підключених пристроїв і не розміщувати старі критичні системи компанії в загальнодоступній мережі. Якщо організації мають такі пристрої десь у своїй мережі, вони можуть бути майже впевнені, що вони привернуть увагу кіберзлочинців», — сказав Ендрю Брандт, головний дослідник Sophos.
Більше на Sophos.com
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.