RansomEXX, un ransomware que también afecta a Linux

noviembre 09, 2020 , 0 Comments

La empresa de seguridad Kaspersky dio a conocer hace poco, que ha descubierto una variante para Linux del ransomware RansomEXX, lo que marca la primera vez que una cepa importante del ransomware de Windows se ha trasladado a Linux para ayudar con intrusiones específicas.

Anteriormente, se informó que este ransomware se utilizó en ataques contra el Departamento de Transportede Texas, Konica Minolta, el contratista del gobierno estadounidense Tyler Technologies, el sistema de tránsito de Montreal y, más recientemente, contra el Sistema Judicial Brasileño (STJ).

RansomEXX se encuentra entre los que asumen grandes objetivos en busca de grandes pagos, sabiendo que algunas empresas o agencias gubernamentales no pueden darse el lujo de permanecer inactivos mientras recuperan sus sistemas.

A fines de 2019, el FBI publicó un anuncio de servicio público de ransomware para educar al público sobre el número cada vez mayor de ataques a empresas y organizaciones en los Estados Unidos.

“Los ataques de ransomware son cada vez más selectivos, sofisticados y costosos, aunque la frecuencia general de los ataques sigue siendo constante. Desde principios de 2018, la incidencia de campañas de ransomware indiscriminadas y a gran escala ha disminuido drásticamente, pero las pérdidas por ataques de ransomware han aumentado drásticamente, según las quejas recibidas por IC3 [Internet Crime Complaint Center] e información sobre los casos del FBI ”.

El FBI ha observado que los hacker utilizan las siguientes técnicas para infectar a las víctimas con ransomware:

  • Campañas de phishing por correo electrónico: el atacante envía un correo electrónico que contiene un archivo o enlace malicioso, que implementa software malicioso cuando el destinatario hace clic en él.
    Los hackers han utilizado tradicionalmente estrategias de spam genéricas y generales para implementar su malware, mientras que las campañas de ransomware recientes han sido más específicas.
    Los delincuentes también pueden comprometer la cuenta de correo electrónico de una víctima mediante el uso de malware precursor, que permite al ciberdelincuente utilizar la cuenta de correo electrónico de la víctima para propagar aún más la infección.
  • Vulnerabilidades del protocolo de escritorio remoto: RDP es un protocolo de red patentado que permite a las personas controlar los recursos y los datos de una computadora a través de Internet.
    Los hackers han utilizado ambos métodos de fuerza bruta, una técnica basada en pruebas, para obtener credenciales de usuario.
    También utilizaron credenciales compradas en los mercados de la darknet para obtener acceso RDP no autorizado a los sistemas victimizados. Una vez que tienen acceso a RDP, los delincuentes pueden implementar una variedad de malware, incluido el ransomware, en los sistemas victimizados.
  • Vulnerabilidades de software: los hackerspueden aprovechar las debilidades de seguridad en los programas de software ampliamente utilizados para tomar el control de los sistemas victimizados e implementar ransomware. Por ejemplo, los hackers explotaron recientemente vulnerabilidades en dos herramientas de administración remota utilizadas por los proveedores de servicios administrados (MSP) para implementar ransomware en las redes de clientes de al menos tres MSP.

CrowdStrike, una empresa de tecnología de ciberseguridad, descubrió que había habido un aumento significativo en los ataques de ransomware dirigidos al «gran juego».

Como saben que sus víctimas son sensibles al tiempo de inactividad, será más probable que paguen un rescate independientemente del costo de ese rescate. Algunos objetivos probables incluyen:

Cuidado de la salud
Empresas de la industria manufacturera
Servicios gestionados
Agencias gubernamentales

Durante el año pasado, hubo un cambio de paradigma en la forma en que operan estos operadores. Varios de ellos se dieron cuenta de que atacar primero los escritorios no es un negocio lucrativo, ya que las empresas tienden a utilizar imágenes de respaldo de los sistemas afectados para no pagar el rescate.

En los últimos meses, en numerosos incidentes, algunos operadores de ransomware no se han molestado en cifrar las estaciones de trabajo y se han dirigido principalmente a servidores críticos dentro de la red de una empresa, sabiendo que en Al atacar estos sistemas primero, las empresas no podrían acceder a sus datos.

El hecho de que los operadores de RansomEXX estén creando una versión para Linux del ransomware de Windows está en consonancia con esta línea de pensamiento, ya que muchas empresas pueden tener sistemas internos en Linux y no siempre en Windows Server.

Fuente: https://securelist.com


Some say he’s half man half fish, others say he’s more of a seventy/thirty split. Either way he’s a fishy bastard.