ПОСЛЕДНИЕ НОВОСТИ
$
10
За просмотр новости вы заработаете
10 баллов

Участвуй в работе сайта и зарабатывай!
Узнать подробности и свой рейтинг

Шифровальщик атакует сервера в JBoss

Специалисты компании Cisco заметили, что злоумышленники используют уязвимость в старых версиях JBoss для атак на серверы компаний. Через эксплуатацию данного бага, распространяется шифровальщик Samsam, впервые замеченный еще в марте 2016 года.

Шифровальщик атакует сервера в JBoss
Шифровальщик атакует сервера в JBoss

 О самом вымогателе Samsam мы писали совсем недавно: эксперты Cisco провели  настоящее расследование и заключили, что Samsam и подобные ему угрозы – это новый этап эволюции вымогательского ПО. Тогда в отчете экспертов сообщалось, что шифровальщик распространяется через непропатченные версии JBoss. Оказалось, что масштаб данной проблемы куда больше, чем аналитики Cisco предполагали.

Эксперты Cisco рассказали, что в поисках уязвимых версий они провели дополнительное расследование и выявили более 3,2 млн серверов, работающих с устаревшими версиями JBoss. Потенциально любой из этих серверов уже мог быть заражен бэкдором.

Более детальная проверка показала, что из трёх миллионов серверов скомпрометированы 2100 машин, работающие на 1600 разных IP. Фактически злоумышленники уже провели на эти серверы первую стадию атаки – бэкдор внедрен, осталось лишь загрузить пейлоуды шифровальщика. Исследователи пишут, что пострадавшая аппаратура принадлежит школам, правительственным учреждениям, авиационным компаниям и так далее.

Более того, исследователи выявили, что операторы SamSam – не единственные, кто использует уязвимости в JBoss. На исследованных серверах нашли бэкдоры mela, shellinvoker, jbossinvoker, zecmd, cmd, genesis, sh3ll, а также Inovkermngrt и jbot. Судя по всему, это дело рук разных хакерских группировок.

Наиболее очевидным признаком заражения является появление в системе файлов: jbossass.jsp, jbossass_jsp.class, shellinvoker.jsp, shellinvoker_jsp.class, mela.jsp, mela_jsp.class, zecmd.jsp, zecmd_jsp.class, cmd.jsp, cmd_jsp.class, wstats.jsp, wstats_jsp.class, idssvc.jsp, idssvc_jsp.class, iesvc.jsp или iesvc_jsp.class.

Также специалисты заметили, что на большинстве скомпрометированных серверов используется ПО Destiny, созданное для организации работы библиотек. Оказалось, что компания Fellot, стоящая за разработкой Destiny, сумела создать отличную систему обновлений и исправляет на серверах своих клиентов, в том числе, ошибки в JBoss, а также отслеживает появление подозрительных файлов. Разработчики Fellot охотно согласились помочь экспертам Cisco, уже устранили все проблемы в своем ПО и теперь помогают своим клиентам избавиться от заражения.

Хочешь рассказать друзьям?

Просто нажми на кнопки соцсетей внизу!

Источник

 

Комментарии (5)

однако

и такое каждый день

Так кто из них специалисты?

капец

Интернет зло.

Добавить комментарий

Filtered HTML

  • Разрешённые HTML-теги: <em> <strong> <cite> <blockquote> <ul> <ol> <li> <dl> <dt> <dd> <br> <br />
  • Строки и параграфы переносятся автоматически.
  • Search Engines will index and follow ONLY links to allowed domains.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки. Ссылки на сторонние не рекламные источники необходимо вставлять в виде http://orskportal.ru/outlink/адрес...
  • Строки и параграфы переносятся автоматически.
1 + 0 =
Введите ответ в пустое поле. Например для 1+3 введите 4.