8-800-250-16-03
Бесплатный звонок
27.07.2020

Новый шифровальщик PonyFinal для кражи данных

Новый шифровальщик PonyFinal для кражи данных

Между 3-м и 4-м кварталами прошлого года средний размер выкупа, требуемоего в результате атаки шифровальщиков увеличился на 104% и достиг 84 116 $. Тем не менее, некоторые варианты шифровальщиков требуют еще больше, особенно если зловред нацелен на крупные компании, размер выкупов достигает 1,3 миллиона $.

Однако высокие затраты - это не единственная опасность, связанная с атакой такого рода: новая, наиболее распространенная тенденция среди операторов шифровальщиков – это сочетание атак с нарушением данных. Таким образом, кибер-преступники крадут данные, которые могут попытаться продать в том случае, если жертва не заплатит выкуп.

PonyFinal: новый шифровальщик с ручным управлением

В конце мая 2020 года, корпорация Microsoft опубликовала ряд твитов, предупреждающих о новом штамме Jave-шифровальщика под названием PonyFinal. Шифровальщик управляется вручную, что отличает его от других «автоматических».

Принцип работы PonyFinal

Для получения доступа к системе своей жертвы, операторы шифровальщика проводят атаку типа Brute Force на Microsoft System Management Server (SMS). После внедрения скрипта VBScript, запускается обратную консоль (reverse shell) PowerShell, которая позволяет злоумышленникам извлекать данные с передачей на своей C&C-сервер управления. На этой стадии атаки злоумышленники также запускают систему удаленного манипулятора, чтобы обойти регистрацию событий.

В некоторых случаях кибер-преступники запускают Java Runtime Environment (JRE), т.к. ее запуск необходим для PonyFinal, поскольку он основан на Java. Однако есть основания полагать, что злоумышленники используют информацию, украденную из SMS, чтобы иметь возможность нацеливаться на конечные устройства, где уже установлена JRE. Это означает, что компании, которые уже установили JRE, могут быть «слепы» к этой атаке.

PonyFinal поставляется через MSI-файл, который содержит два bat-файла и полезную нагрузку с шифровальщиком. Файл UVNC_Install.bat создает запланированную задачу под названием "Java Updater" и вызывает файл RunTask.bat, запускающий полезную нагрузку из файла PonyFinal.JAR.

Как защититься

Решение простое: используйте антивирусное решение Лаборатории Касперского, например, Kaspersky Endpoint Security для бизнеса Стандартный. Продукт проверяет активность по подбору паролей в рамках атак типа Brute Force и отслеживает всю активность в it-системе. Остановите угрозы любой степени опасности, прежде чем они нанесут ущерб организации, со скидкой 10%.


Возврат к списку