Cabecera-v2-web.jpg

Distribución de ransomware mediante ataques de fuerza bruta a RDP


En los últimos dí­as se observó un aumento en los casos de una familia de ransomware llamada Dharma, que ha afectado a personas y empresas de nuestro paí­s. Se trata de una variante del ransomware Wallet, cuya proliferación se observó en el paí­s en el mes de diciembre, marzo y nuevamente ahora El ransomware es implantado en los equipos mediante ataques de fuerza bruta a servicios de Escritorio remoto (RDP - Remote Desktop Protocol) expuestos a Internet de forma insegura. También se ha observado un aumento de otras familias de ransomware tales como CrySIS (familia relacionada a Dharma), CryptoMix, ACCDFISA, entre otras, las cuales igualmente se implantan mediante la explotación de RDP expuesto a Internet, con contraseñas débiles. En algunos casos, se ha observado intentos de acceso durante varios dí­as, hasta lograr encontrar la contraseña.

Al igual que la mayorí­a de las familias de ransomware, al quedar infectado, el ransomware se ejecuta e inmediatamente cifra la gran mayorí­a de los archivos y le añade una extensión caracterí­stica. En el caso de Dharma, por ejemplo, la extensión añadida es filename.ID[VICTIM_16_CHAR_ID].[ ].wallet. El ransomware encripta archivos con una gran cantidad de extensiones: desde las más comunes (archivos de textos, imagenes, videos, etc.) hasta las más especí­ficas, ya sea correspondientes a archivos de correo, de bases de datos, de código, máquinas virtuales, de diseño, etc. Algo muy común en muchas de estas variantes es que además encriptan los directorios compartidos en red a los que el equipo tiene acceso, afectando así­ a un amplio número de usuarios. Por lo general, el ransomware borra todas las instantáneas de recuperación (Shadow Volume Copies), de manera que no se pueden utilizar para restaurar los archivos de la ví­ctima.

En algunos casos, al finalizar, el ransomware se auto-elimina del equipo, aunque en otros casos permanece latente en el sistema, de modo a seguir encriptando los nuevos archivos que se crean en la máquina. Luego, el ransomware despliega un mensaje en pantalla y/o como fondo de pantalla, como una "nota de rescate" en la que proporcionan las instrucciones para el pago del rescate y la recuperación de los archivos.



El pago exigido es en bitcoins, y los montos pueden variar entre 500 a 1500 USD. En muchas de las variantes observadas, los cibercriminales exigen a la ví­ctima que ésta contacte por correo electrónico, a través del cual le proporcionan las instrucciones especí­ficas del pago, incluido el monto.

Si bien, existen variantes de ransomware para casi cualquier sistema operativo, las familias observadas recientemente, tales como Dharma, CryptoMix, CrySIS, entre otras, afectan a equipos con sistema operativo Windows. Aquellos equipos y redes que cuentan con equipos con RDP habilitado, expuesto a Internet y con una contraseña débil son especialmente propensos a ser ví­ctimas de estas familias de ransomware.

El ransomware encripta los archivos usando estándares de encriptación robusta (por lo general, RSA + AES-128), la cual no es reversible, por lo tanto lleva a una pérdida de los archivos. En el caso que se cuente con copias de seguridad actualizadas de los archivos, el impacto puede ser significativamente menor.


Prevención y Recomendaciones:

En la gran mayorí­a de los casos, no existen mecanismos para desencriptar los archivos sin la clave que está en poder de los atacantes. Sin embargo, en ocasiones, es posible que después de un tiempo se descubra una solución. Esto normalmente se puede dar de dos formas:

  1. Se descubre una falla de seguridad en el propio ransomware, que puede ser explotada y permite recuperar los archivos
  2. Una investigación del grupo criminal lleva a la recuperación de las claves de las ví­ctimas.

En el caso de la última variante de Dharma/Wallet/CrySIS, los cibercriminales han publicado las claves de descifrado en PasteBin, por lo que es posible que las ví­ctimas puedan descifrar sus archivos de esta manera. Para más información sobre cómo descifrar los archivos, lee nuestro boletí­n: https://www.cert.gov.py/application/files/5514/954...

Debe tenerse en cuenta que, aunque ocasionalmente se da a conocer una manera de descifrar los archivos, esto normalmente suele coincidir con el inicio de la distribución de otras familias de ransomware, por lo que es especialmente importante tener en cuenta las medidas preventivas:

  • Verificar los accesos de RDP (Escritorio remoto) expuestos a Internet y asegurar que las contraseñas de todos los usuarios sean robustas (10 a 12 caracteres como mí­nimo, evitar palabras comunes, combinar minúsculas, mayúsculas, números, sí­mbolos, etc.). Verificar además otros mecanismos de acceso remoto, tales como SSH, TeamViewer y otros. En caso de tener habilitado RDP u otros mecanismos de acceso remoto, deshabilitarlo en caso de que no sea estrictamente necesario.
  • No abrir nunca correos sospechosos, tanto si vienen de usuarios conocidos como desconocidos. Asegurarse siempre de que la persona que le ha enviado el correo realmente le querí­a remitir ese adjunto.
  • Evitar abrir los archivos adjuntos sospechosos. Incluso los archivos aparentemente inofensivos, como los documentos de Microsoft Word o Excel, pueden contener un virus, por lo que es mejor ser precavido.
  • No ingresar a enlaces dudosos que le son enviados a través de correo electrónico, servicios de mensajerí­a, redes sociales, etc.
  • Realizar copias de seguridad (backup) de toda la información crí­tica para limitar el impacto de la pérdida de datos o del sistema y para facilitar el proceso de recuperación. Idealmente, estas copias deben hacerse de forma regular y deben mantenerse en un dispositivo independiente (disco duro externo, o servicios en la nube como OneDrive, Dropbox, etc.)
  • Contar con soluciones de antivirus/firewall y mantenerlo actualizado, de modo a prevenir la infección.
  • Mantener su sistema operativo y el software siempre actualizado, con los últimos parches.
  • No acceder nunca a ningún pago u acción exigida por el atacante. Además de no existir ninguna garantí­a por parte de los cibercriminales, en muchas ocasiones, ví­ctimas que han pagado el rescate no han podido recuperar sus archivos.

En caso de ser ví­ctima de ransomware, puede reportarnos el incidente al CERT-PY, enviando un correo a abuse@cert.gov.py.


Información adicional:
https://www.cert.gov.py/application/files/3714/9546...



pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11