自11月以來 一個新的 名為JungleSec的勒索軟件一直通過不安全的IPMI(智能平臺管理接口)卡感染服務器。
BleepingComputer的安全專家寫道 一個新的 稱為JungleSec的勒索軟件通過不安全的IPMI(智能平臺管理接口)卡感染受害者。
勒索軟件於11月初首次出現。
IPMI是一組計算機接口規範,用於自主計算機子系統,提供獨立於主機系統的CPU,固件(BIOS或UEFI)和操作系統的管理和監視功能。它內置於服務器主板中或作為附加卡安裝,並允許遠程管理計算機。
錯誤配置的IPMI接口可能允許攻擊者遠程訪問系統並使用默認憑據控制它。
“在BleepingComputer和兩個人之間的對話中 受害者 人們發現,攻擊者通過安裝在服務器的IPMI接口JungleSec勒索。”讀取後通過BleepingComputer出版。
“在一種情況下,IPMI接口使用默認的製造商密碼。另一名受害者稱管理員用戶已被禁用,但攻擊者仍然可以通過可能的漏洞獲取訪問權限。“
專家指出,一旦用戶獲得了對服務器的訪問權限,攻擊者就會將計算機重新啟動到單用戶模式以獲得root訪問權限,然後他們下載並編譯了 ccrypt 加密程序。
一旦對文件進行加密,攻擊者就會刪除JungleSec Ransomware的贖金票據(ENCRYPTED.md),其中包含支付贖金和解密文件的說明。
攻擊者使用junglesec @ anonymousspeech [。] com與受害者進行溝通並索取0.3比特幣的贖金。
BleepingComputer報道說,許多受害者已經支付了贖金而未收到攻擊者的回覆。
專家建議通過更改默認密碼並配置僅允許某些IP地址訪問IPMI接口的ACL來保護IPMI接口。
另一個建議是為GRUB引導加載程序添加密碼,使攻擊者無法將系統重新引導至單用戶模式。
BleepingComputer 發佈的分析報告了包括IoC在內的更多細節。
閱讀更多 專注黑客事件調查播報 的文章
