Hace un par de semanas descubrimos un ataque de ransomware en un servidor perteneciente a una empresa francesa. Se trataba de una variante de Crysis, una familia de ransomware surgida a principios de año. A diario somos testigos de miles de intentos de infección que utilizan ransomware, sin embargo, este nos llamó la atención especialmente ya que el archivo aparecía en el equipo infectado en un momento en que se suponía que nadie estaba utilizándolo, y de hecho, no había ni clientes de correo ni navegadores de Internet que estuviesen ejecutándose.
Entonces, ¿cómo llegaba al equipo? ¿Cómo es que las medidas de seguridad de la empresa no evitaban que el archivo llegase al servidor? Esto era lo que nos intrigaba, así que decidimos ponernos a investigar. Resultó que el servidor en cuestión ejecutaba el Protocolo de Escritorio Remoto (RDP), y los atacantes empleaban un ataque de fuerza bruta hasta adivinar las credenciales que les permitiesen obtener acceso remoto.
Volviendo al tema que nos ocupa, como la mayoría de usuarios no utilizan sistemas de autenticación en dos fases (2FA), y sus contraseñas no son ni demasiado complejas ni aleatorias, resulta relativamente sencillo acceder a un servidor utilizando este tipo de ataque de fuerza bruta y un buen diccionario, y probando las combinaciones más comunes. La verdad es que esta técnica no es nueva. Recuerdo una ola de ataques de ransomware que afectó a un grupo de empresas españolas hace más de un año y que utilizaba la misma técnica. Los delincuentes suelen realizar esos ataques por la noche o durante el fin de semana, cuando no hay nadie o casi nadie trabajando en la oficina.
Los atacantes empleaban un ataque de fuerza bruta hasta adivinar las credenciales y tomar el acceso remoto.
En el caso que nos ocupa, el ataque al servidor empezó el 16 de mayo, fecha en la que hubo 700 intentos de inicio de sesión. Todos estos intentos se realizaban de forma automática, normalmente en periodos de alrededor de 2 horas. La mayoría tenían lugar de 1 AM a 3 AM, o de 3 AM a 5 AM. Así un día tras otro. Sin embargo, el número de intentos de inicio de sesión variaba de un día para otro. Por ejemplo, el 18 de mayo hubo 1976 intentos, mientras que el 1 de julio se produjeron 1342.
Al cabo de 4 meses y más de 100.000 intentos de inicio de sesión, los atacantes lograron por fin entrar en el servidor y depositar el ransomware Crysis.
Nuestros colegas de Trend Micro han publicado esta semana un artículo advirtiendo de ataques similares en Australia y Nueva Zelanda que propagan variantes de Crysis. Sin embargo, podemos afirmar que no se tratan de los únicos países afectados, y que dichos ataques se están sucediendo a escala mundial al menos desde mayo.
Teniendo en cuenta que para que el ataque tenga éxito es necesario que el equipo afectado esté ejecutando el protocolo de escritorio remoto y conectado a Internet, recomendamos monitorizar todos los intentos de conexión para detectar cualquier ataque en el momento en que se produzca, además de utilizar contraseñas seguras y sobre todo sistemas 2FA, como los que envían códigos de verificación vía SMS, que hagan inútil la obtención fraudulenta de contraseñas.
Seguiremos informando en próximas entregas de Historias de Ransomware.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
