Eine neue Version der Sarwent-Malware kann den RDP-Port (Remote Desktop Protocol) auf Windows-Zielcomputern öffnen, um sicherzustellen, dass Gauner über die Hintertür wieder in das System gelangen können.
Ob dieser Zugriff später von denselben Gaunern genutzt oder an Ransomware-Banden oder Cyberspionage-Gruppen verkauft wird, ist unbekannt, aber betroffene Benutzer sollten wissen, dass das Entfernen der Malware diese bestimmte „Hintertür“ nicht schließt.
Sarwents neue Funktionen
Sarwent ist eine Malware, die als Loader für andere Malware begann, aber kürzlich mit zwei neuen Funktionen aktualisiert wurde, entdeckten SentinelOne-Forscher.
Diese beiden Varianten können nun auch:
- Befehle über Windows-Eingabeaufforderung und PowerShell ausführen
- Erstellen Sie ein neues Windows-Benutzerkonto, aktivieren Sie den RDP-Dienst dafür und nehmen Sie Änderungen an der Windows-Firewall vor, damit der RDP-Zugriff auf den infizierten Computer zulässig ist
Durch das Entfernen der Malware vom infizierten Computer wird das RDP- „Loch“ nicht automatisch geschlossen. Benutzer, Administratoren oder bezahlte „Reiniger“ müssen auch das von der Malware eingerichtete Benutzerkonto entfernen und den RDP-Zugriffsport in der Firewall schließen.
RDP-Zugriff: Eine heiße Ware
Der Zugriff auf Windows-Computer über das Remote Desktop Protocol ist zu einer bevorzugten Taktik von Cyber-Gaunern und Ransomware-Banden geworden, obwohl sie normalerweise nach Maschinen / Servern suchen, auf denen bereits RDP aktiviert ist, und dann versuchen, die Kennwörter, die den Zugriff schützen, Brute-Force zu erzwingen.
Seit sich COVID-19 weltweit verbreitet hat und viele Mitarbeiter von zu Hause aus arbeiten, ist die RDP-Nutzung stark gestiegen.
Die Gauner, die Sarwent einsetzen, möchten die Chancen erhöhen, den Zugriff auf den Computer zu behalten, nachdem die Malware gefunden und entfernt wurde.
Möglicherweise möchten sie diesen Zugriff selbst verwenden, um den Computer zu einem späteren Zeitpunkt erneut zu infizieren. Es ist auch möglich, dass sie diesen Zugang an andere Cyber-Banden oder Einzelpersonen vermieten oder verkaufen möchten.
Der Zugang zu Unternehmensnetzwerken und -systemen wird regelmäßig in dunklen Webforen und Marktplätzen verkauft.