Исследователи обнаружили новую версию вируса Sarwent, открывающего порты RDP. Пока еще нет точных сведений и отчетов. Поэтому эксперты выдвигают разные версии причины подобного функционирования вредоносной программы. Некоторые исследователи, которые прошли основы кибербезопасности в информационно образовательном пространстве Алматы, больше склоняются к версии о перепродаже зараженных хостов.
Чем опасен вирус, основы кибербезопасности в информационно образовательном пространстве Алматы
Вирус Sarwent известен аналитикам еще с 2018 года. Изначально он имел крайне ограниченный функционал. А потому использовался, как правило, для установки более сложного и опасного вредоносного программного обеспечения на компьютеры. В частности, на те, что были скомпрометированы хакерами. Однако теперь операторы решили существенно расширить функциональные особенности Sarwent. Как утверждают эксперты, полностью изучившие основные понятия кибербезопасности Алматы, теперь вирус стал немного опаснее.
В первую очередь следует отметить, что вредоносная программа научилась взаимодействовать с PowerShell и Windows Command Prompt. С их помощью вирусу легко создать на устройстве пользователя новую учетную запись для управления системой. Затем Sarwent включает RDP и разрешает через него полный доступ к хосту. И поскольку вирус умеет отключать средства защиты операционной системы, он нарушает основные правила кибербезопасности Алматы и мешает их осуществлению.
Также исследователи отмечают, что на сегодняшний день Sarwent к чаще всего используется в комплекте с другими не менее опасным вирусом Predator the Thief. Подобная комбинация позволяет более качественно и быстро взламывать операционные системы. Более того. внедрять в них вредоносное программное обеспечение, которое нужно хакерам.
Варианты тактики атаки
При использовании этого сочетания вирусов, хакеры могут сделать внутри операционной системы следующее:
- создать новую учетную запись;
- отключить блокировку антивируса и межсетевого экрана;
- скомпрометировать данные пользователя.
В результате, существует две версии заработка злоумышленников. По первой хакеры продают доступ к зараженным хостам или сдают их в аренду. По второй подобные конечные точки могут быть выставлены на продажу в качестве бэкдоров. Обычно подобные сведения продаются на специализированных площадках в даркнете. Пока специалисты работают над тем, чтобы как можно быстрее вычислить хакерскую группировку и обеспечить надежную защиту безопасности конфиденциальных данных. Однако стоит позаботиться о собственной защите самостоятельно. Для этого достаточно выучить основы кибербезопасности Алматы, которые помогут понять, какие именно процессы происходят в компьютере при хакерской атаке, а также как их устранить.
