Peligroso ransomware que se aprovecha de configuraciones RDP débiles

Escrito por admin el . Posteado en Informatica

Recursos afectados Por el momento, en los incidentes reportados a INTECO-CERT las víctimas afectadas utilizan Windows 2003 Server. Sin embargo no se descarta que el ataque pueda extenderse a otras versiones de Microsoft Windows.

Descripción Una nueva variante de determinado ransomware está siendo utilizada activamente para comprometer servidores Windows haciendo inaccesibles gran parte de sus ficheros.

Solución Aunque actualmente se siguen investigando las vías de infección todo parece indicar que los ciberdelincuentes están haciendo uso del protocolo RDP (Microsoft Remote Desktop Protocol) como vía de entrada para acceder a servidores Microsoft Windows e instalar el ransomware. Es altamente probable que se estén aprovechando de configuraciones débiles en RDP (acceso sin contraseña, contraseñas fácilmente predecibles, etc.) para poder infectar las máquinas. Por este motivo y, como medida preventiva, se aconseja llevar a cabo las recomendaciones de seguridad recientemente publicadas por el CERT de Australia (AUSCERT) (se abre en nueva ventana):

  • Hacer copias de seguridad de todos sus archivos importantes y guardar los backups en un dispositivo/equipo externo no conectado directamente . Este hecho es especialmente importante, ya que el malware tiene capacidad para detectar dispositivos conectados al equipo, por lo que las propias copias de seguridad podrían verse también comprometidas.
  • Asegúrese de que sus sistemas así como sus programas están correctamente actualizados. Esto incluye los equipos utilizados para acceder remotamente a su equipo.
  • Limite el acceso remoto a sus sistemas directamente desde Internet.
  • Utilice contraseñas robustas para el acceso remoto a su servicio RDP y reducir así el riesgo de intentos de acceso por fuerza bruta.
  • Implemente políticas de bloqueo de cuentas en el servidor RDP cuando se detecten múltiples intentos de acceso fallidos.
  • Cuando el acceso remoto sea imprescindible, utilice métodos seguros como VPN. Utilice además dos factores de autenticación (no sólo contraseña), y restringa el acceso únicamente a las personas, sistemas y servicios que realmente necesiten acceso remoto.

En caso de haber sido víctima de este malware póngase en contacto con INTECO-CERT (Buzón de sugerencias de INTECO-CERT (Buzón de sugerencias de INTECO-CERT. Se va a deletrear: i n c i d e n c i a s arroba c e r t punto i n t e c o punto e s). Además, es conveniente poner inmediatamente la denuncia correspondiente, para lo que puedes ponerte en contacto con: El Cuerpo Nacional de Policía, a través de la Comisaría General de la Policía Judicial, dispone de la Brigada de Investigación Tecnológica (BIT) para combatir la delincuencia que utiliza los medios que proporcionan las nuevas Tecnologías de la Información. La presentación de la denunciapuedes realizarla a través del teléfono: 902 102 112, página web o en cualquier comisaría.

Detalle Durante la última semana se han reportado diversos incidentes de seguridad relacionados con un ransomware similar al reciente virus de la policía. Sin embargo, en este caso, el malware empaqueta gran parte de los ficheros del disco duro en formato RAR y los protege bajo contraseña haciéndolos totalmente inaccesibles al usuario. Siguiendo la línea de cualquier otro ransomware, el malware abre una ventana como la mostrada en la siguiente imagen alertando al usuario de que su equipo ha sido bloqueado al detectarse pornografía infantil. El malware solicita al usuario un pago de 5000$ dólares y, en caso de no realizarse el mismo, amenaza con no enviar la clave que permite supuestamente extraer los ficheros. Aunque dicho malware ya se ha utilizado con anterioridad, parece que los cibercriminales siguen generando nuevas variantes y añadiendo nuevas funcionalidades para hacerlo aún más dañino. Además de “proteger” los ficheros bajo contraseña elimina los originales herramienta SDelete de Sysinternals para hacerlos totalmente irrecuperables. Es importante indicar que, como en cualquier otro caso de ransomware en el que se intenta extorsionar a los usuarios, no se debe realizar el pago del mismo ya que dicho pago no garantiza en absoluto que los ficheros vayan a ser recuperados.

Share

Etiquetas:, ,

Deja un comentario

SXInformatica
C/Soria 5 25200 Cervera
973 534 445
info@sxinformatica.net

PCmode
www.pcmode.net
635 824 172
ventas@pcmode.net
SEO Powered by Platinum SEO from Techblissonline