查看原文
其他

巴西医院遭受RDP暴力攻击,感染勒索软件

代码卫士 2022-04-06

总部在巴西的黑客组织TeamXRat创建了自己的勒索软件变体,该组织通过远程桌面协议(RDP)暴力破解攻击控制了多家医院和当地公司的服务器和网络。


该组织此前曾创建和出售银行恶意软件,据卡巴斯基实验室分析,这是他们首次尝试创建勒索软件,似乎是今年三月检测并解密的勒索软件Xorist的衍生体。

研究人员表示这款勒索软件尚且粗糙,因为它没有使用基于Tor的支付网站,需要用户通过电子邮件与攻击者联系,并且需要手动安装。


TeamXRat通过未受保护的RDP服务黑进服务器

为了寻找安装恶意软件的位置,攻击者针对巴西公司和国家机构中暴力于互联网中的RDP服务器进行了暴力破解攻击。


RDP是一个常用于大型公司的协议,允许系统管理员登录和管理远程工作站。大部分时间,它们暴露于互联网中,而不仅仅在公司的内部网使用,有时会使用弱的、易于破解的密码。


卡巴斯基表示接到一家不愿透露名称的巴西医院的请求,为他们解锁文件,才意识到这款新的勒索软件变体的存在。


Xpan勒索软件可以被破解

这款勒索软件被检测为Trojan-Ransom.Win32.Xpan,使用AES-256 CBC 和RSA-2048加密算法锁定文件。但卡巴斯基表示已查明其加密算法的弱点,员工已创建了解密器。需要这款解密器的受害者可以通过其支持部门联系卡巴斯基。


Xpan其余的行为和大多数勒索软件变体相似。Xpan将用户文件锁定、改变壁纸、索要1比特币赎金,并且每当用户试图打开加密文件时都会增加一个注册表项。


用户可以通过查看自定义文件扩展名确定自己是否受到感染,被上锁的文件后缀为.____xratteamLucked。


TeamXRat已不是巴西第一个创建勒索软件的黑客组织。过去安全公司曾检测到基于Hidden Tear开源勒索软件工具包的TorLocker和多个勒索软件家族。巴西的恶意软件通常以垃圾邮件和银行木马而居多。


6月份卡巴斯基发现xDedic,这是一个出售被攻击服务器的市场,巴西是RDP服务器被攻击最多的国家。


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存