Зловред-шифровальщик JungleSec атакует через интерфейс IPMI

В сети участились случаи атак зловреда-шифровальщика JungleSec. Первые его нападения были зафиксированы в начале ноября. Примечательно, что жертвами атак становились пользователи систем и Windows, и Mac, и Linux. При этом понять, как именно происходит инфицирование, специалистам не удавалось. Судя по всему, решение этого вопроса найдено экспертами ресурса Bleeping Computer. Они побеседовали с множеством жертв атак JungleSec и пришли к выводу, что зловред во всех случаях проникал в системы через интерфейс IPMI.

IPMI (Intelligent Platform Management Interface) – это интерфейс удаленного управления серверами. Он реализуется через отдельную микросхему, которая может устанавливаться на материнскую плату непосредственно в процессе сборки либо инсталлируется позднее. Этот инструмент чрезвычайно удобен для системных администраторов: он позволяет, например, удаленно получать информацию о системе, управлять компьютерами, включать и выключать их и т.д. Однако при его использовании многие системные администраторы пренебрегают правилами безопасности. В частности, микросхемы нередко поставляются производителями с предустановленным административным паролем admin, который, разумеется, необходимо изменить. Также при использовании IPMI его следует настроить таким образом, чтобы он воспринимал команды только с IP-адресов внутренней сети. Системы IPMI с ошибками конфигурации и неизмененным предустановленным паролем и позволяют киберпреступникам осуществлять атаки через интернет.

После зашифровки файлов зловред JungleSec выводит требование об уплаты выкупа за разблокировку. Печальная новость состоит в том, что, по данным Bleeping Computer, ни один из пользователей, заплативших требуемую сумму, пока так и не получил ключ расшифровки.


Источник:  Bleepingcomputer

Возврат к списку