WYSIWYE: Un ransomware con interfaz propia

Ramsonware-PandaLamentablemente, Instalar malware en las redes corporativas a través del Protocolo de escritorio remoto está en auge entre los cibercriminales. En los últimos meses desde nuestro laboratorio antimalware PandaLabs, hemos analizado varios casos de ataques de ransomware dirigidos a empresas de diferentes países de Europa que comparten esta “metodología” y que están siendo perpetrados por los mismos atacantes, así lo comentó Luis Corrons, su director técnico.

La dinámica utilizada en los casos detectados es similar: Una vez conseguidas las credenciales del servidor de red corporativa (para lo que se valen de una ataque de fuerza bruta sobre el RDP (Remote Desktop Protocol), los ciberdelincuentes consiguen acceso a la máquina.

En este punto, encontramos el elemento común y la novedad en el ransomware “utilizado” por los ciberdelincuentes: en el momento “apropiado” y siguiendo el criterio “What You See is What You Encrypt” (De acuerdo a lo que veas, decidirás lo que encriptes) los atacantes simplemente ejecutan de forma automática el tipo malware que “mejor se adapte” para que comience a cifrar y muestre finalmente el mensaje de rescate al usuario. Sin duda se trata de un tipo de ataque más personalizado.

En la intromisión analizada el ransomware posee un interfaz mediante el cual se puede configurar al gusto del atacante, empezando por la dirección de correo que aparecerá en la nota de rescate que verán las víctimas.

Con este ataque personalizado es posible seleccionar los equipos de la red cuya información se quiere cifrar, seleccionar carpetas, auto-borrarse después de acabar el cifrado, modo oculto, etc.

Cómo proteger a tu empresa de los ataques personalizados

La supervivencia de cualquier empresa en un entorno digital como el de hoy en día pasa por establecer una sólida estrategia de seguridad de la red corporativa. La prevención ante cualquier amenaza de ciberseguridad con el fin de neutralizarla lo antes posible o el bloqueo del atacante en el caso de que logre entrar en los sistemas, juega hoy un papel prioritario.

En el caso estudiado, desde Pandalabs hemos bloqueado intentos de ataque con este ransomware en empresas protegidas por Adaptive Defense en países europeos como Alemania, Bélgica, Suecia y España, agregó Corrons.

Aquí podemos ver un par de MD5s del ransomware:

  • 4C163E182FFBA6C87EA816B7D7A7D32B
  • D9489263DA3A5CA7E938315EFD32522D

La recomendación final del director técnico de PandaLabs, para las empresas es hacer a tiempo una inversión en tecnologías de prevención, detección y respuesta las cuales garantizan una mejor preparación a la empresa para defenderse de los ataques cibernéticos más sofisticados, como es el caso del Ransomware; desafortunadamente, la experiencia nos dice que las soluciones basadas en el perímetro no bloquean este tipo de amenazas que son cada vez más frecuentes, puntualiza Corrons.