محققان امنیتی کشف کردند که برخی از باج افزارها از پروتکل دسکتاپ راه دور (RDP) برای آلوده کردن سیستم های قربانیان استفاده می کنند. در بخش هایی از این حملات، مهاجمان از عمومی و معمول ترین نقص در شرکت ها استفاده می کنند و آن هم پسوردهای ضعیف است. پس از شکستن پسوردهای RDP، مهاجمان می توانند بدافزار خود را بر روی شبکه ی سازمان ها نصب کرده و از آن ها باج دریافت کنند.
محققان امنیتی توضیح میدهند که پیدا کردن پورتهای RDP که در سطح اینترنت قابل دسترسی هستند خیلی کار سختی نیست. مهاجمان سایبری میتوانند از ابزارهای جستجویی مانند Shodan برای این منظور استفاده کنند و در ادامه به سیستمی که آن را کشف کردهاند، با استفاده از ابزارهای خصوصی یا عمومی، نفوذ کنند. در حملاتی که توسط محققان مورد بررسی قرار گرفت، مهاجمان از ابزاری به نام NLBrute برای انجام حملهی جستجوی فراگیر و شکستن پسوردهای RDP استفاده کردهاند. مهاجمان پس از اینکه پسورد درست را کشف کردند، به سرعت وارد سیستم شده و برای خود حساب کاربری با امتیازات مدیریتی ایجاد میکنند.
در ادامه مهاجمان میتوانند نرمافزارهای مورد نظر خود مانند Process Hacker را بر روی سیستم دانلود و نصب کنند. این عمیات پس از آن انجام میشود که مهاجم برنامههای ضدبدافزاری را غیرفعال کرده و یا آنها را مجددا به دلخواه خود پیکربندی میکند. مهاجمان همچنین از آسیبپذیریهایی با شناسههای CVE-2017-0213 و CVE-2016-0099 که خیلی وقت قبلتر توسط مایکروسافت وصله شده، بهرهبرداری میکنند تا امتیازات خود را ارتقاء دهند.
مهاجمان میتوانند پایگاه دادهها و سرویسهای مربوط به آن را غیرفعال کرده و آنها را هدف قرار دهند. مهاجمان همچنین سرویس پشتیبانگیری ویندوز با نام Volume Shadow Copy را از کار انداخته و هرچه فایل پشتیبان وجود دارد حذف میکنند تا کاربران نتوانند فایلهای خود را بازیابی کنند. در ادامه نیز مهاجمان باجافزار خود را بارگذاری و اجرا میکنند.
به گفتهی محققان، این باجافزار از قربانیان ۱ بیتکوین درخواست میکند. محققان میگویند هرچند شرکتهای متعددی به این باجافزار آلوده شدهاند ولی در کیف پول مهاجمان تنها یک تراکنش مشاهده میشود. به عبارتی قربانیان باج را نپرداخته و یا برای مقادیر کمتر وارد مذارکره شدهاند. محققان به شرکتها برای حفاظت در برابر چنین حملاتی توصیه میکنند تا در صورتی که به RDP نیازی ندارند آن را غیرفعال کنند و یا اگر لازم دارند، بهطور مناسبی از آن محافظت کنند. اگر نیاز به ارتباط بیرون از شبکه وجود دارد، بهتر است از VPN استفاده شود. احراز هویت دو عاملی فعال شده و به محض انتشار وصلهها، آنها را نصب کنند.
