Операторы PonyFinal чаще всего начинают атаку со взлома учетной записи на сервере управления системами.
ИБ-специалисты из Microsoft предупредили компании о новых кибератаках с использованием вымогательского ПО PonyFinal. Первые атаки с использованием PonyFinal были зафиксированы в апреле нынешнего года в Индии, Иране и США. Операторы вредоноса также неоднократно атаковали организации в сфере здравоохранения.
Операторы PonyFinal тщательно готовятся к атакам — они взламывают корпоративные сети и вручную устанавливают вредоносное ПО, а не автоматизируют данный процесс. Как отметили специалисты из Microsoft, организациям рекомендуется обратить внимание на процесс осуществления атаки, а не ограничиваться изучением только вредоносного кода.
По словам экспертов, в большинстве случаев операторы PonyFinal начинают атаку со взлома учетной записи на сервере управления системами. Преступники с помощью брутфорса получают доступ к учетным записям со слабыми паролями. Получив доступ к серверу, они активируют скрипт Visual Basic, который запускает ПО для сбора и хищения данных.
В ходе атаки злоумышленники могут применить подбор учетных данных для протокола удаленного рабочего стола (Remote Desktop Protocol, RDP) и проэксплуатировать уязвимости в системах. В некоторых случаях операторы PonyFinal тайно размещали среду выполнения Java Runtime Environment (JRE) для запуска вредоноса PonyFinal, а иногда использовали уже установленным JRE на компьютере жертвы.
Вымогательское ПО поставляется через MSI-файл, который содержит два пакетных файла и полезную нагрузку. UVNC_Install.bat создает запланированное задание с именем «Java Updater» и вызывает RunTask.bat, который запускает полезную нагрузку PonyFinal.JAR.
Зашифрованные PonyFinal файлы имеют формат .enc. В настоящее время не существует способов или инструментов для расшифровки данных.
