Microsoft ostrzega organizacje na całym świecie, aby wdrożyły zabezpieczenia przed nowym oprogramowaniem ransomware. PonyFinal jest na wolności już od dwóch miesięcy. To oprogramowanie oparte na Javie, które jest wdrażane w atakach obsługiwanych przez ludzi. Oznacza to, że hakerzy naruszają sieci korporacyjne, a następnie sami wdrażają złośliwe oprogramowanie. Proces dystrybucji pomija więc znane nam kanały spamu, phishingu czy wykorzystania exploitów.

Jak działa? Punktem włamania jest zazwyczaj konto na serwerze zarządzania systemami firmy, który atakujący łamią za pomocą ataków brute-force, odgadując słabe hasła. Po przedostaniu się do środka korzystają ze skryptu Visual Basic, który uruchamia odwrotną powłokę PowerShell, a następnie kopiuje i kradnie dane. Jednocześnie wdrażają zdalny system manipulatora, który pozwala im ominąć rejestr zdarzeń. Kiedy już atakujący opanują sieć docelową, rozprzestrzeniają się na inne systemy lokalne i ostatecznie infekują je PonyFinal.

Microsoft przestrzega firmy, że zamiast skupiać się na payloads powinny raczej ustalić w jaki sposób wstrzyknięto je do wnętrza sieci.
Źródło: Microsoft

W większości przypadków hakerzy celują w stacje robocze z zainstalowanym Java Runtime Environment (JRE), gdyż sam PonyFinal jest napisany w Javie. Microsoft twierdzi jednak, że odnotował przypadki, w których hakerzy sami instalowali środowisko JRE w infekowanych systemach.

Wreszcie, PonyFinal szyfruje pliki, zmienia ich nazwy (dodając rozszerzenie „.enc”) i generuje notatkę okupu „README_files.txt” w każdym folderze zawierającym zaszyfrowane pliki. W jednej z odnotowanych notatek wysokość kwoty okupu sięgnęła… 300 BTC, co odpowiada 2,8 mln USD! Na ten moment nie ma jeszcze oficjalnego oprogramowania deszyfrującego.

Niestety, PonyFinal jest jednym z kilku programów ransomware, które zostały wykorzystane w atakach targetowanych w placówki medyczne podczas pandemii COVID-19.

Źródło