Криптоблокер Bucbi, дебютировавший два года назад, стал более разборчивым в выборе и использует брутфорс-атаки.

Исследователи из Palo Alto Networks обнаружили новую версию Bucbi на Windows Server; зловред требовал у владельца 5 биткойнов ($2,32 тыс.) за расшифровку. Анализ показал, что операторы обновленного блокера больше не раздают его ковром, как два года назад, а проводят целевые атаки.

«В прошлом этот вымогатель атаковал своих жертв без разбора и раздавался через email-вложения и с вредоносных сайтов, — пояснил журналистам Threatpost исследователь из Palo Alto Райан Олсон (Ryan Olson). — Злоумышленники ныне сменили тактику и применяют брутфорс-атаки».

По словам Олсона, основным объектом интересов обновленного Bucbi являются корпоративные сети, в которых работают доступные из Интернета RDP-серверы. Получить доступ к этим Windows-серверам атакующим помогает утилита, называемая RDP Brute, которая способна взламывать пароли перебором по словарю.

В своем отчете исследователи высказали предположение, что, судя по списку учетных данных, которым оперируют злоумышленники, их основными мишенями являются PoS-системы. Этот список включает такие имена пользователя, как FuturePos, KahalaPOS, BPOS. «Вполне вероятно, что эта атака началась с поиска PoS-устройств (злоумышленниками), а затем, после успешной компрометации, когда оказалось, что скомпрометированные устройства не проводят финансовые транзакции, они сменили тактику», — полагают в Palo Alto.

Нововведением также является отказ Bucbi от HTTP-связи с командным сервером. Злоумышленники просто устанавливают полный RDP-контроль над атакуемой системой.

«Bucbi уникален тем, что он более чем зловред, распространяемый автоматизированными методами, — говорит Олсон. — За последние два года он эволюционировал и превратился в инструмент, который можно использовать для поиска конфиденциальных данных, получения представления о сети и для шифрования файлов».

Еще одной уникальной чертой, пока не получившей подтверждения, является политическая мотивация атак с его использованием — по крайней мере, так утверждают его операторы. «Мы нигде не нашли свидетельств верности этого утверждения вымогателей», — констатирует Олсон.

В ходе анализа были обнаружены множественные признаки, по которым можно установить принадлежность новых атак Bucbi; в частности, адрес электронной почты, указанный в сообщении с требованием выкупа, исследователи определили как принадлежащий украинским националистам из «Правого сектора».

В беседе с Threatpost Олсон также отметил, что Bucbi — типичный представитель переживающей расцвет бизнес-модели вымогательства, сделавшей ставку на шифрование информации вместо ее кражи с последующей продажей. «Если бы я был плохим парнем и хотел скомпрометировать лечебное учреждение, я бы мог украсть огромное количество персональных и клинических данных, однако превращение краденого в деньги и статью дохода — дело не из легких, — признал представитель Palo Alto. — Использование вымогательского ПО означает, что все системы, которые можно скомпрометировать, потенциально представляют ценность».

Категории: Аналитика, Вредоносные программы, Хакеры