een nieuwe versie van de Sarwent malware kan de Remote Desktop Protocol (RDP) poort openen op doel Windows-computers om ervoor te zorgen dat boeven hun weg terug in het systeem kunnen vinden via de achterdeur.
of die toegang later wordt gebruikt door dezelfde boeven of verkocht aan ransomware bendes of cyber Spionage groepen is onbekend, maar getroffen gebruikers moeten weten dat het verwijderen van de malware niet dat bepaalde sluiten “achterdeur”.
Sarwent ‘ s nieuwe mogelijkheden
Sarwent is een stuk malware dat begon als een lader voor andere malware, maar onlangs is bijgewerkt met twee nieuwe functionaliteiten, SentinelOne onderzoekers ontdekt.
deze nooit varianten kunnen nu ook:
- voer opdrachten uit via Windows-opdrachtprompt en PowerShell
- Maak een nieuw Windows-gebruikersaccount aan, schakel de RDP-service daarvoor in en breng wijzigingen aan in de Windows firewall zodat RDP-toegang tot de geïnfecteerde machine is toegestaan
het verwijderen van de malware van de geïnfecteerde computer zal niet automatisch het RDP – “gat”sluiten. Gebruikers, admins of betaalde “schoonmakers” moeten ook het gebruikersaccount dat door de malware is ingesteld verwijderen en de RDP-toegangspoort in de firewall sluiten.
RDP-toegang: Een hot commodity
die toegang krijgt tot Windows-machines via het Remote Desktop Protocol is een voorkeurstactiek geworden van cybercriminelen en ransomwarebendes, hoewel ze meestal zoeken naar machines/servers die al RDP hebben ingeschakeld en dan proberen ze de wachtwoorden te forceren die de toegang er doorheen beveiligen.Sinds COVID-19 zich over de hele wereld verspreidde en veel werknemers thuis begonnen te werken, is het gebruik van RDP gestegen.
de oplichters met Sarwent willen de kans vergroten dat ze toegang tot de machine behouden nadat de malware is gevonden en verwijderd.
het kan zijn dat zij die toegang zelf willen gebruiken om de computer op een later tijdstip opnieuw te infecteren. Het is ook mogelijk dat ze planten te huren of te verkopen die toegang tot andere cyber bendes of individuen.
toegang tot bedrijfsnetwerken en-systemen wordt regelmatig verkocht op dark webforums en marktplaatsen.