nowa wersja oprogramowania Sarwent malware może otworzyć port protokołu zdalnego pulpitu (RDP) na docelowych komputerach z systemem Windows, aby upewnić się, że oszuści mogą znaleźć drogę z powrotem do systemu przez tylne drzwi.
nie wiadomo, czy dostęp ten jest używany później przez tych samych oszustów, czy sprzedawany gangom ransomware lub grupom szpiegowskim, ale użytkownicy, których to dotyczy, powinni wiedzieć, że usunięcie złośliwego oprogramowania nie zamyka tego konkretnego „backdoora”.
nowe możliwości Sarwent
Sarwent to złośliwe oprogramowanie, które zaczęło się jako program ładujący inne złośliwe oprogramowanie, ale niedawno zostało zaktualizowane o dwie nowe funkcje, odkryli naukowcy SentinelOne.
te nigdy warianty nie mogą teraz również:
- wykonuj polecenia za pomocą wiersza polecenia systemu Windows i PowerShell
- Utwórz nowe konto użytkownika systemu Windows, włącz dla niego usługę RDP i wprowadź zmiany w Zaporze systemu Windows, aby umożliwić dostęp RDP do zainfekowanego komputera
usunięcie złośliwego oprogramowania z zainfekowanego komputera nie zamknie automatycznie „dziury”RDP. Użytkownicy, Administratorzy lub płatni „czyściciele” muszą również usunąć konto użytkownika skonfigurowane przez złośliwe oprogramowanie i zamknąć port dostępu RDP w zaporze.
dostęp RDP: Gorący towar
uzyskiwanie dostępu do maszyn z systemem Windows za pośrednictwem protokołu zdalnego pulpitu stało się preferowaną taktyką cyberprzestępców i gangów ransomware, chociaż zwykle skanują w poszukiwaniu maszyn/serwerów, które już mają włączony RDP, a następnie próbują brutalnie wymusić hasła, które chronią dostęp przez niego.
odkąd COVID-19 rozprzestrzenił się na całym świecie i wielu pracowników zaczęło pracować z domu, wykorzystanie PROW wzrosło.
oszuści dzierżący Sarwent chcą zwiększyć szanse na zachowanie dostępu do maszyny po znalezieniu i usunięciu złośliwego oprogramowania.
może być tak, że będą chcieli użyć tego dostępu sami, aby ponownie skonfigurować komputer w późniejszym terminie. Możliwe jest również, że planują wynająć lub sprzedać ten dostęp innym cyber gangom lub osobom.
dostęp do sieci i systemów korporacyjnych jest regularnie sprzedawany na forach i rynkach dark web.