Сервери confluence і gitlab стали жертвами нового виду програм-вимагачів

29

реклама

За останні кілька днів група програм-вимагачів використовувала експлойти, щоб отримати доступ до незахищених серверів confluence і gitlab, зашифрувати їх файли, а потім попросити у власників серверів викуп за відновлення їх даних.

На заражених серверах в кінці кожного зашифрованого файлу з’являється розширення”.locked». Після запиту на сервер confluence або github він повертає помилку 404, не дозволяючи користувачам увійти в свої облікові записи. Адміністратори, які проводять розслідування, в кінцевому підсумку знайшли файл з ім’ям _ _ $ $ recovery_readme $$__. Html, який містить вимогу викупу зловмисниками.

Записка з вимогою викупу, зображена вище, ідентична записці, використаній cerber, нині неіснуючої програми-вимагача, яка діяла в період з 2016 по 2019 рік.

Однак аналіз коду показує, що це зовсім інший вид вимагача, який просто намагається бути схожим на іншого вимагача, в спробі залякати жертв і змусити їх заплатити, за відновлення доступу до своїх файлів.

Згідно з tencent, вимагачі використовували уразливості cve-2021-26084 і cve-2021-22205 для отримання доступу до серверів confluence і gitlab відповідно.

Обидві уразливості являють собою помилки віддаленого виконання коду, які можуть надати зловмисникам повний контроль над незахищеними системами; отже, зловмисники можуть з легкістю запускати програми-вимагачі і шифрувати файли. Обидві ці уразливості були відомі раніше, для них доступні виправлення і вони вже використовувалися в реальних умовах безліччю зловмисників з вересня і листопада відповідно, а це означає, що у компаній немає виправдання того, що на даний момент все ще використовуються застарілі системи.

Наприклад, згідно зі звітом sophos, у жовтні сервери confluence також стали жертвами вимагачів atom silo. За даними tencent, переважна більшість (нових) жертв cerber в даний час проживає в китаї, німеччині та сша. Зловмисники просять 0,04 біткоіни (~2000 доларів сша), щоб надати жертвам дешифратор. У разі не виплати грошей протягом п’яти днів, сума викупу подвоюється.