Новая разновидность вымогательского программного обеспечения Bucbi, применяющая необычный механизм распространения, была обнаружена исследователями Palo Alto Networks.
Если до сих пор заражение компьютеров осуществлялось с задействованием фишинговой рассылки или набора эксплоитов, то теперь операторы троянской программы пользуются для ее распространения методом полного перебора, используя удаленный рабочий стол.
Специалисты подчеркивают, что в настоящее время злоумышленники проявляют наибольший интерес к корпоративным сетям, в которых используются уязвимые RDP-серверы под управлением Windows. Чтобы инфицировать компьютер, вредоносная программа подключается к нему, используя удаленный рабочий стол. Был зафиксирован случай, когда за восстановление данных на сервере хакеры требовали у компании выплатить 5 биткоинов.
В конце марта этого года экспертами была зафиксирована кибератака с применением Bucbi, которая осуществлялась с 5 разных IP-адресов. В ходе кибернападения для полного перебора использовались распространенные имена пользователей, в том числе логины для PoS-терминалов. Исследователи считают, что изначально киберпреступники планировали взламывать PoS-терминалы. Но при получении доступа к устройствам хакеры поменяли тактику, поскольку обнаружили, что взломанные терминалы не осуществляют обработку финансовых транзакций.
Как утверждает специалист Palo Alto Networks Райан Олсон, Bucbi – это непростая вымогательская программа. За 2 года она превратилась из обычной вредоносной программы в инструмент, который позволяет искать конфиденциальную информацию и шифровать данные на целевой системе.