Компания ESET — лидер в области информационной безопасности — обнаружила набор вредоносных инструментов Spacecolon, который используется для распространения программ-вымогателей Scarab по всему миру. Вероятно, угроза проникает в организации через компрометацию уязвимых веб-серверов или через подбор учетных данных к удаленному рабочему столу (RDP).
Согласно данным телеметрии ESET, атаки Spacecolon зафиксированы в разных частях мира с высоким уровнем распространения в странах Европейского Союза, таких как Испания, Франция, Бельгия, Польша и Венгрия, а также Турции и Мексике. Кроме этого, киберпреступники разрабатывают новую программу-вымогатель — ScRansom. После установки программ-вымогателей Spacecolon имеет широкий выбор сторонних инструментов, позволяющих злоумышленникам отключать продукты по безопасности, перехватывать конфиденциальную информацию и получать дальнейший доступ.
Специалистам ESET удалось отследить происхождение Spacecolon, по крайней мере, до мая 2020 года, и он остается активным до сих пор.
«Мы не заметили никакой закономерности в выборе жертв, зон фокуса или размера целей, кроме того, что они были уязвимы к начальным методам доступа. Например, Spacecolon обнаружен в больнице и туристическом учреждении в Таиланде, страховой компании в Израиле, местном государственном учреждении в Польше, развлекательной компании в Бразилии, экологической компании в Турции и школе в Мексике», – комментирует Якуб Сучек, исследователь ESET.
Киберпреступники, вероятно, компрометируют веб-серверы с уязвимостью ZeroLogon или с учетными данными RDP, которые можно сломать методом подбора паролей. Кроме того, Spacecolon может обеспечить доступ с помощью бэкдора для злоумышленников. Последние не прилагают много усилий, чтобы скрыть свое вредоносное ПО, и оставляют много следов в инфицированных системах.
После компрометации уязвимого веб-сервера киберпреступники разворачивают ScHackTool. Этот основной компонент позволяет хакерам управлять атакой, загружая и запуская дополнительные инструменты на устройстве. Если цель считается интересной, злоумышленники могут развернуть другие инструменты, которые обеспечивают дальнейший удаленный доступ.
Последней разворачивается версия программы-вымогателя Scarab. Этот вариант может внутренне развертывать ClipBanker, вредоносное программное обеспечение для отслеживания и изменение содержимого буфера обмена, который может быть адресом кошелка криптовалюты, на адрес злоумышленников.
Кроме этого, разрабатывается новое семейство программ-вымогателей ScRansom, образцы которых были загружены на VirusTotal. Исследователи ESET с большой уверенностью считают, что это вредоносное программное обеспечение написали те же разработчики, что и Spacecolon. ScRansom пытается зашифровать все жесткие, сменные и удаленные диски. Специалисты ESET пока не фиксировали развертывание этого программного обеспечения в реальной среде и, вероятно, оно все еще находится на стадии разработки.
В связи с опасностью дальнейшего распространения угрозы специалисты ESET рекомендуют применить актуальные обновления программного обеспечения, в дополнение к паролям использовать двухфакторную аутентификацию для входа в учетные записи и установить приложения для защиты ваших компьютеров и мобильных устройств от различных угроз, включая программы-вымогатели, фишинг-атаки и другие виды вредоносных программ.