Entre el tercer y cuarto cuatrimestre del año pasado, el rescate promedio de un ataque de ransomware aumentó un 104% hasta alcanzar los  alcanzar 84.116$. Sin embargo, hay variantes de ransomware que exigen incluso más a sus víctimas, sobre todo si el objetivo del malware es una empresa grande, como es el caso de Ryuk. Como este ransomware está dirigido a atacar entornos corporativos, con foco en el segmento Enterprise, pide un rescate promedio de más 1,3 millones de dólares.

Sin embargo, el alto coste del ransomware no es el único peligro relacionado con un ataque de esta tipología: una nueva tendencia, cada vez más prevalente entre los operadores del ransomware, es combinar el ataque con una brecha de datos. De este modo, los cibercriminales tienen datos robados que pueden intentar monetizar si la víctima no paga el rescate y también sirve para chantajear a la víctima. Hace poco, Microsoft advirtió de una nueva variante de ransomware que combina estas dos tácticas.

PonyFinal: un nuevo ransomware manualmente operado

A finales de mayo de este año, el gigante tecnológico publicó una serie de Tweets en los que advirtió de un nuevo ransomware, llamado PonyFinal, basado en Java que también roba los datos de sus víctimas. Según explica Microsoft, este nuevo ransomware es manualmente operado por los cibercriminales que lo utilizan, a diferencia de las variantes masificadas que pueden ser distribuidas de manera automática.

Cómo funciona PonyFinal

Para entrar en el sistema de la víctima, los operadores de PonyFinal llevan a cabo un ataque de fuerza bruta contra Microsoft Systems Management Server (SMS). El siguiente paso es desplegar un VBScript para lanzar un shell inverso en PowerShell y así habilitar la exfiltración de datos a un servidor C&C. Durante esta fase del ataque, los atacantes también lanzan un sistema remoto de manipulación para así eludir el registro de eventos.

En ciertos casos, los atacantes lanzan el Java Runtime Environment (JRE), que PonyFinal necesita para ejecutarse, ya que está basado en Java. Sin embargo, hay indicios que sugieren que los atacantes utilizan información robada del Systems Manager Server para poder dirigir sus ataques a endpoints en los que JRE ya está instalado. Esto quiere decir que una empresa que ya tiene JRE instalado puede ser más susceptible a sufrir un ataque de PonyFinal.

PonyFinal se entrega a través de un archivo MSI que contiene dos archivos batch y el payload del ransomware. UVNC_Install.bat crea una tarea programada llamada “Java Updater” y llama a RunTask.bat, que ejecuta el payload, PonyFinal.JAR.

Los operadores esperan hasta el momento perfecto…

Microsoft ha explicado que los operadores de PonyFinal esperan hasta una fecha y una hora específicas para cifrar los archivos de sus víctimas. Como es el caso para el ransomware manualmente operado parecido a este, los operadores de PonyFinal esperan hasta el momento más oportuno para desplegar el payload. En el caso de los recientes ataques contra hospitales, este momento fue a principios de abril durante el pico de la pandemia de la COVID-19.

La solución: parches y vigilancia

Para evitar que PonyFinal entre en los sistemas corporativos, Microsoft ha recomendado que las organizaciones reduzcan la superficie de ataque asegurando que todos los activos conectados a Internet estén actualizados y que tengan los parches relevantes. Esto es particularmente importante para las VPN y otras herramientas de acceso remoto, cuyo uso se ha disparado durante la pandemia. Es también necesario llevar a cabo auditorías frecuentes de malas configuraciones y vulnerabilidades.

Muchas organizaciones tienen dificultades a la hora de gestionar y aplicar los parches relevantes. Por este motivo, Panda Security pone a tu disposición una solución para agilizar el proceso de descubrir, planificar e instalar los parches con Panda Patch Management. Esta solución aporta visibilidad en tiempo real de los parches y actualizaciones pendientes, además del software no soportado o en EoL. De esta manera, puedes estar seguro de siempre tener los parches necesarios para que tu empresa esté a salvo.

Microsoft también recomienda llevar a cabo escaneos de actividad en búsqueda de comportamientos que sugieren que alguien está llevando a cabo ataques de fuerza bruta. Panda Adaptive Defense monitoriza toda la actividad en el sistema informático. Detiene cualquier actividad sospechosa, incluso las ciberamenazas más avanzadas, antes de que pueda causar daños.

PonyFinal, Ryuk y Netwalker son algunas de las nuevas variantes de ransomware que están causando muchos problemas en los sistemas informáticos en este 2020. Protege tu organización contra estos y cualquier otra ciberamenaza con la suite de ciberseguridad Adaptive Defense 360.