• Home
• Short News
• Long News
• Long Reads
• Support
• Library
• blogs
• links
• Полная версия сайта

JungleSec атакует Linux-серверы через интерфейс IPMI

Зловред шифрует файлы, требует выкуп и оставляет на зараженном устройстве бэкдор.

Специалисты портала Bleeping Computer рассказали о вредоносной кампании JungleSec, авторы которой проникают на серверы через интерфейс IPMI и шифруют файлы, требуя выкуп. В ряде случаев киберпреступники атаковали целевые устройства в ручном режиме, самостоятельно подавая команды для кодирования информации. Эксперты связались с двумя пострадавшими и выяснили у них детали нападения.

Шифровальщик JungleSec появился на радарах исследователей летом 2018 года. Программа заражала серверы под управлением Linux и добавляла к закодированным файлам расширение .jungle@anonymousspeechcom. Позже зловред также атаковал устройства под управлением Windows и macOS. Теперь стало известно, что злоумышленники используют в качестве точки входа интерфейс IPMI, предназначенный для удаленного администрирования системы.

Эксперты Bleeping Computer выяснили, что в одном из случаев киберпреступники проникли на целевой сервер при помощи дефолтного пароля к IPMI, а в другом — через брешь в интерфейсе. Чтобы получить root-привилегии, злоумышленники перезагрузили скомпрометированные компьютеры в однопользовательском режиме и установили на них бесплатный шифровальщик сcrypt.

Как сообщил один из пострадавших, киберпреступники вручную запустили процесс кодирования, задав пароль для восстановления информации. Мошенники создали на компьютере файл ENCRYPTED.md с требованием выкупа в размере 0,3 биткойна за восстановление файлов. Кроме того, злоумышленники попытались зашифровать данные внутри запущенных на сервере виртуальных машин и установили на устройство бэкдор, который позволяет открыть соединение через TCP-порт 64321.

Интерфейс IPMI используется для удаленного администрирования серверных систем в большинстве встроенных BMC-контроллеров. Ранее исследователи уже демонстрировали уязвимость этих компонентов. Ученым удалось атаковать контроллер через протокол Keyboard Controller Style (KCS). В рамках эксперимента ИБ-специалисты компании Eclypsium сумели не только взломать BMC, но и полностью стереть прошивку модуля UEFI, сделав устройство неработоспособным.

Ваш голос учтён!

нравится

не нравится

Рейтинг:

0

Всего голосов: 0

Новые материалы в Разное:

RuStore открыл доступ иностранным разработчикам   // 08 февраля

CISA опубликовало декриптор в помощь жертвам шифровальщика ESXiArgs   // 08 февраля

Google обещает блюрить непристойные и жестокие картинки поиска   // 08 февраля

Бизнес предлагает продавать алкоголь по 2FA   // 08 февраля