Специалисты портала Bleeping Computer рассказали о вредоносной кампании JungleSec, авторы которой проникают на серверы через интерфейс IPMI и шифруют файлы, требуя выкуп. В ряде случаев киберпреступники атаковали целевые устройства в ручном режиме, самостоятельно подавая команды для кодирования информации. Эксперты связались с двумя пострадавшими и выяснили у них детали нападения.

Шифровальщик JungleSec появился на радарах исследователей летом 2018 года. Программа заражала серверы под управлением Linux и добавляла к закодированным файлам расширение .jungle@anonymousspeechcom. Позже зловред также атаковал устройства под управлением Windows и macOS. Теперь стало известно, что злоумышленники используют в качестве точки входа интерфейс IPMI, предназначенный для удаленного администрирования системы.

Эксперты Bleeping Computer выяснили, что в одном из случаев киберпреступники проникли на целевой сервер при помощи дефолтного пароля к IPMI, а в другом — через брешь в интерфейсе. Чтобы получить root-привилегии, злоумышленники перезагрузили скомпрометированные компьютеры в однопользовательском режиме и установили на них бесплатный шифровальщик сcrypt.

Как сообщил один из пострадавших, киберпреступники вручную запустили процесс кодирования, задав пароль для восстановления информации. Мошенники создали на компьютере файл ENCRYPTED.md с требованием выкупа в размере 0,3 биткойна за восстановление файлов. Кроме того, злоумышленники попытались зашифровать данные внутри запущенных на сервере виртуальных машин и установили на устройство бэкдор, который позволяет открыть соединение через TCP-порт 64321.

Интерфейс IPMI используется для удаленного администрирования серверных систем в большинстве встроенных BMC-контроллеров. Ранее исследователи уже демонстрировали уязвимость этих компонентов. Ученым удалось атаковать контроллер через протокол Keyboard Controller Style (KCS). В рамках эксперимента ИБ-специалисты компании Eclypsium сумели не только взломать BMC, но и полностью стереть прошивку модуля UEFI, сделав устройство неработоспособным.

Категории: Вредоносные программы