CVE 2017-0213: server RDP insicuri presi di mira da hacker iraniani con Dharma Ransomware

Secondo gli esperti di sicurezza informatica precedentemente sconosciuti, un gruppo di hacker iraniano sta utilizzando l’exploit CVE 2017-0213 per colpire i server RDP con Dharma Ransomware. È una delle famiglie di virus più popolari e pericolose. Questi attacchi rappresentano gli sforzi in corso di vari gruppi di hacker per utilizzare continuamente questo virus nelle loro campagne.

 I ricercatori di sicurezza hanno scoperto gruppi di hacker che creano dall’Iran con l’obiettivo di sfruttare per colpire i server RDP vulnerabili. Questi servizi vengono utilizzati per stabilire una connessione remota. L’advisory è tracciato in CVE 2017-0213 che si presenta da Microsoft come un problema nella funzionalità COM di Windows. Le versioni del sistema operativo non sicure consentono agli hacker di eseguire codice arbitrario con alte ricompense.

L’hacker si impegna a fornire una versione diversa del Dharma Ransomware. Le loro attività utili hanno portato al rilevamento di molteplici incidenti di sicurezza in tutto il mondo. L’indagine su questo ha rivelato che le cooperative inventano dall’Iran.

I campioni di Dharma Ransomware possono essere configurati per modificare le impostazioni di sistema, installare altre minacce ed elaborare i dati degli utenti. Crea una nota di riscatto di testo e aggiunge un’estensione preregistrazione ai dati compromessi. Attraverso la richiesta di riscatto, l’hacker può ricattare le vittime per farle pagare denaro in criptovaluta. L’hacker richiede da 1 a 5 Bitcouns, un valore basso rispetto ad altre campagne di attacco simili.