sarwent-haittaohjelman uusi versio voi avata Remote Desktop Protocol (RDP) – portin kohdeikkunoissa varmistaakseen, että roistot löytävät tiensä takaisin järjestelmään takaoven kautta.
ei tiedetä, käyttävätkö samat roistot tätä käyttöoikeutta myöhemmin tai myyvätkö ne ransomware-jengeille tai verkkovakoiluryhmille, mutta käyttäjien, joita haittaohjelma koskee, pitäisi tietää, että haittaohjelman poistaminen ei sulje kyseistä ”takaovea”.
Sarwentin uudet ominaisuudet
Sarwent on pala haittaohjelmaa, joka aloitti lataajana muille haittaohjelmille, mutta on hiljattain päivitetty kahdella uudella toiminnallisuudella, Sentinelonen tutkijat havaitsivat.
nämä koskaan muunnokset voivat nyt myös:
- Suorita komentoja Windowsin komentokehotteen ja PowerShellin kautta
- Luo uusi Windows-käyttäjätili, ota RDP-palvelu käyttöön sitä varten ja tee muutoksia Windowsin palomuuriin niin, että RDP-pääsy tartunnan saaneelle koneelle sallitaan
haittaohjelman poistaminen tartunnan saaneesta tietokoneesta ei automaattisesti sulje RDP: n ”reikää”. Käyttäjien, ylläpitäjien tai maksettujen ”siivoojien” on myös poistettava haittaohjelman perustama käyttäjätili ja suljettava palomuurin RDP-pääsyportti.
RDP access: Kuuma hyödyke
Windows-koneisiin pääsystä Etätyöpöytäprotokollan kautta on tullut nettihuijareiden ja ransomware-jengien suosima taktiikka, vaikka he yleensä etsivät koneita/palvelimia, joissa RDP on jo käytössä, ja sitten he yrittävät raa ’ asti pakottaa salasanat, jotka turvaavat pääsyn sen kautta.
sen jälkeen kun COVID-19 levisi ympäri maailmaa ja monet työntekijät alkoivat työskennellä kotoa käsin, RDP: n käyttö on lisääntynyt huimasti.
sarwentia heiluttavat konnat haluavat lisätä mahdollisuuksia säilyttää pääsy koneeseen sen jälkeen, kun haittaohjelma on löydetty ja poistettu.
saattaa olla, että he haluavat käyttää tätä pääsyä itse, jotta tietokone voidaan myöhemmin uudelleenfektoida. On myös mahdollista, että he istuttavat vuokratakseen tai myydäkseen pääsyn muille kyberjengeille tai yksityishenkilöille.
yritysten verkkoihin ja järjestelmiin pääsyä myydään säännöllisesti pimeillä verkkofoorumeilla ja toreilla.