What You See is What You Encrypt.
La tendencia de instalar malware en las redes corporativas a través del Protocolo de escritorio remoto está en auge entre los cibercriminales. En los últimos meses hemos analizado varios casos de ataques de ransomware dirigidos a empresas de diferentes países de Europa que comparten esta metodología y están siendo perpetrados por los mismos atacantes.
Una vez conseguidas las credenciales tras un ataque de fuerza bruta sobre el RDP (Remote Desktop Protocol), los ciberdelincuentes consiguen acceso a la máquina.
En este punto, cuando el objetivo es utilizar ransomware, los atacantes simplemente ejecutan de forma automática el malware correspondiente para que comience a cifrar y muestre finalmente el mensaje de rescate al uso. Sin embargo, aquí vemos un tipo de ataque más personalizado.
En la intromisión analizada vemos como el ransomware posee un interfaz mediante el cual se puede configurar al gusto del atacante, empezando por la dirección de correo que aparecerá en la nota de rescate que verán las víctimas.
Con este ataque personalizado es posible seleccionar los equipos de la red cuya información se quiere cifrar, seleccionar carpetas, auto-borrarse después de acabar el cifrado, modo oculto, etc.
Cómo proteger a tu empresa de los ataques personalizados
La supervivencia de cualquier empresa en un entorno digital como el de hoy en día pasa por establecer una sólida estrategia de seguridad de la red corporativa. La prevención ante cualquier amenaza de ciberseguridad con el fin de neutralizarla lo antes posible o el bloqueo del atacante en el caso de que logre entrar en los sistemas, juega hoy un papel prioritario.
En el caso estudiado, desde Pandalabs hemos bloqueado intentos de ataque con este ransomware en empresas protegidas por Adaptive Defense en países europeos como Alemania, Bélgica, Suecia y España.
Aquí podemos ver un par de MD5s del ransomware:
4C163E182FFBA6C87EA816B7D7A7D32B
D9489263DA3A5CA7E938315EFD32522D
Una inversión a tiempo en tecnologías de prevención, detección y respuesta y no solo adoptar soluciones basadas en el perímetro, garantiza una mejor preparación a la empresa para defenderse de los ataques cibernéticos.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
1 comment