Специалисты связывают первичный доступ с украденными учётными данными RDP. После входа злоумышленники вручную загружают и запускают основной файл servertool.exe, а для закрепления используют легальные средства удалённого администрирования и штатные инструменты Windows. В одном из изученных инцидентов фигурировали RemotePC и скрытая учётная запись администратора, пишет Securitylab.
Главная особенность вредоноса связана с порядком шифрования. Хакеры рекурсивно проходят по каталогам без ограничения глубины и почти без исключений, пропуская только уже зашифрованные файлы. Если несколько файлов имеют одинаковую дату изменения, вредонос шифрует их по алфавиту. Такой подход повышает давление на компанию, потому что под удар первыми попадают активные документы, с которыми сотрудники работали буквально только что.
Отсутствие записки с выкупом сокращает следы в системе и мешает автоматическому обнаружению на этапе вымогательства. Переговоры могут уходить во внешние каналы, включая почту, телефон или портал для жертв в даркнете.
Мнением о новой атаке хакеров поделился Андрей Кузнецов, генеральный директор ООО "РуБэкап" (входит в "Группу Астра"). «Новый вирус-шифровальщик рекурсивно проходит каталоги и шифрует файлы, пропуская уже зашифрованные, и действует «поэтапно», используя легитимные утилиты и скрывая следы, значит, защита должна не только обнаруживать вредоносное поведение, но и гарантировать, что резервные копии недоступны для атакующего. Система резервного копирования должна сочетать изоляцию копий, недоступность и неизменяемость, ограничение прав и детектирование аномалий, тогда хакеры не смогут разрушить или перезаписать важные бэкапы», — говорит эксперт Андрей Кузнецов.
