A Microsoft emitiu alerta para um novo tipo de ransomware baseado em Java, apelidado de PonyFinal. A fabricante de software o descreve como um “ransomware operado por humanos” para diferenciá-lo das variantes “comoditizadas” que são distribuídas de maneira automatizada pelos hackers.
O grupo Security Intelligence da Microsoft disse em uma série de tuítes esta semana que o primeiro estágio de invasão envolve o acesso a uma organização alvo por meio de ataques de força bruta contra o servidor de gerenciamento de sistemas.
Veja isso
Campanha de phishing falsifica mensagens do Microsoft Teams
Microsoft alerta sobre campanha de phishing com tema covid-19
Um VBScript, versão interpretada da linguagem Visual Basic, é implantado para executar um shell reverso do PowerShell que permite a exfiltração de dados em um servidor de comando e controle (C&C) pela porta 80. Os hackers também implantam um sistema de manipulador remoto para ignorar o log de eventos.
“Em certos casos, os hackers implantam o Java Runtime Environment (JRE) que o PonyFinal precisa executar. No entanto, as evidências sugerem que os invasores usam as informações roubadas do servidor de gerenciamento de sistemas para atingir endpoints (terminais) com o JRE já instalado”, explica a Microsoft. Portanto, se a organização já tiver o JRE em seus sistemas, ela pode ficar “cega” a qualquer ataque.
De acordo com a Microsoft, o PonyFinal criptografa arquivos em uma data e hora específicas e, como ataques de ransomware “operados por humanos” semelhantes, é provável que aqueles que o mantenham aguardem o momento mais oportuno para implantar a carga útil.