Una nueva familia de ransomware denominada «Nemty» por la extensión que agrega a los archivos cifrados ha surgido recientemente en la naturaleza. Según un informe de Bleeping Computer , el ingeniero de ingeniería inversa con sede en Nueva York, Vitali Kremez,postula que Nemty posiblemente se entrega a través de conexiones de escritorio remoto expuestas.

Aunque el ransomware distribuido a través de RDP no es nada nuevo, es notablemente un método de distribución más peligroso en comparación con las técnicas de phishing. Una vez que un ciberdelincuente obtiene acceso a sistemas con altos privilegios, tendrá una entrada sin restricciones al sistema para lanzar ataques sin intervención del usuario, como se vio en campañas anteriores de ransomware SAMSAM .

Los ataques RDP de fuerza bruta en 2017 mostraron cómo los atacantes lo hicieron para difundir el ransomware Crysis a las PYME y las grandes organizaciones en Australia y Nueva Zelanda. Esta amenaza no solo afecta a las empresas; La telemetría de Trend Micro de 2018 detectó más de 35 millones de intentos de fuerza bruta en computadoras domésticas y dispositivos personales: el 85% de los intentos fueron a través de RDP.

Nemty de un vistazo

Nemty deja caer una nota de rescate que informa a la víctima qué hacer para recuperar sus archivos encriptados y elimina las instantáneas de los archivos que encripta en un sistema. Según las propias pruebas de Bleeping Computer, Nemty exige un rescate de 0.09981 bitcoin, que asciende a alrededor de US $ 1,000 al momento de la escritura.

El pago de este monto de rescate se procesa en un portal de pago alojado en la red Tor. Los actores detrás de Nemty advierten que si no se paga el rescate antes de la fecha límite, se duplicará el monto del rescate.

Según Kremez, el ransomware tiene una función que puede verificar si la computadora de la víctima está en Rusia, Bielorrusia, Kazajstán, Tayikistán o Ucrania, pero los usuarios de estos países no son inmunes a un ataque de Nemty. Nemty recopila el nombre de la computadora del usuario, el nombre de usuario, el sistema operativo y la identificación de la computadora, que envía a sus operadores.

Tras un examen más detallado del código de Nemty, Kremez notó algunas cosas interesantes: su código contenía un enlace a una imagen del presidente ruso, un mutex de nombre extraño («odio») y una línea de código denominada «f * ckav». que aparentemente es una clave para decodificar cadenas base64 y crear URL.

Soluciones basadas en el aprendizaje automático de Trend Micro contra ransomware

Cuando los delincuentes cibernéticos obtienen acceso al punto final de una organización a través de RDP comprometido, pueden deshabilitar los productos antivirus e implementar ransomware en los sistemas. Esto es más peligroso que las técnicas de phishing porque el ataque del ransomware ya no depende de la acción del usuario. Los usuarios y las organizaciones deben conocer las mejores prácticas para ayudar a reducir o eliminar los riesgos vinculados a un ataque de ransomware.

A nivel de punto final, las  suites de protección inteligente de Trend Micro ™  ofrecen varias capacidades como aprendizaje automático de alta fidelidad , monitoreo de comportamiento y control de aplicaciones, y protección de vulnerabilidades que minimizan el impacto de esta amenaza. Trend Micro ™ Deep Discovery Inspector ™ detecta y bloquea el ransomware en las redes, mientras que  Trend Micro ™ Deep Security ™  evita que el ransomware llegue a los servidores empresariales, ya sean físicos, virtuales o en la nube.

Utilizando una combinación de tecnologías como la inspección profunda de paquetes y la reputación de amenazas,  TippingPoint  también proporciona a las organizaciones un enfoque proactivo de seguridad, incluidas las herramientas para combatir el ransomware. Además, la  seguridad de Trend Micro XGen ™  proporciona una combinación intergeneracional de técnicas de defensa contra amenazas contra una gama completa de amenazas para  centros de datos ,  entornos de nube ,  redes y  puntos finales . Inteligente, optimizado y conectado, XGen ™ potencia el conjunto de soluciones de seguridad de Trend Micro: Hybrid Cloud Security, User Protection y Network Defense.

Fuente: trendmicro.com

Compartir