Шифровальщик нарушил работу автоматического паркинга в Оттаве. В результате атаки бесплатно воспользоваться автостоянкой мог любой желающий. Об этом сообщил Спенсер Каллахан (Spencer Callaghan) — представитель организации CIRA, которая администрирует национальный домен Канады.

Несмотря на то что проблема возникла во вторник, она сохранилась и на следующий день. По словам сотрудника, в среду утром шлагбаумы на автостоянку были подняты.

«При более пристальном изучении обнаружился и источник проблемы — система автоматической парковки была атакована программой-вымогателем». Компьютеры не проверяли пропуска, а на экране терминала оплаты отображалось сообщение: «Все ваши файлы были зашифрованы».

По мнению специалистов, атакующие использовали вымогатель Dharma. Это ПО злоумышленники внедряют на компьютеры жертв с помощью RDP. Для этого они сканируют Интернет в поисках открытых TCP-портов 3389 и взламывают жертв брутфорсом. Затем преступники меняют системный пароль и запускают шифровку файлов.

«Хакеры начинают эксплуатировать бреши в защите компаний любых размеров и отраслей, — считает Каллахан. — Теперь эта проблема касается не только крупных организаций с большим объемом данных. Инструменты злоумышленников дешевы, доступны и просты в использовании — это делает взломы ради развлечения или прибыли более простыми, чем когда-либо».

Подземная стоянка расположена на территории нескольких кварталов и рассчитана более чем на 1000 мест для автомобилей. Управляет паркингом компания Precise ParkLink. Несмотря на запросы BleepingComputer и IT World Canada, ее представители ситуацию никак не прокомментировали.

Организация CIRA, по словам Каллахана, от действий злоумышленников не пострадала. Однако он беспокоится, что в зараженных системах могут находиться данные банковских карт, которыми сотрудники регулятора оплачивали услуги автостоянки.

В последние годы мошенники активно используют RDP для распространения зловредов. Помимо шифровальщика Dharma, в 2018-м через протокол удаленного доступа распространялись такие программы-вымогатели, как Matrix, SamSam и Scarab.

Причиной тому — слабые пароли и некорректная настройка удаленного доступа. Помимо того, этот вектор обеспечивает злоумышленникам полный контроль в течение всей атаки и позволяет не ждать, пока жертва откроет зараженное вложение или перейдет по опасной ссылке.

Категории: Вредоносные программы