Es sabido que los servicios de Escritorio Remoto (Remote Desktop Protocol o RDP por sus siglas en inglés) son utilizados ampliamente por los cibercriminales como puerta de entrada en sus ataques, tanto por las vulnerabilidades existentes en sistemas Windows como por la poca robustez de las credenciales usadas por muchos de los usuarios y las insuficientes defensas usadas en muchas infraestructuras, quedando expuestos ante cualquier ataque por fuerza bruta. A pesar de esto, cientos de miles de equipos siguen teniendo expuestos servicios de RDP en Internet sin ningún tipo de protección.
Es alarmante la cantidad de noticias asociadas a ransomware que se están recibiendo en los últimos meses, la mayoría de ellos exitosos por dos cuestiones concretas que se repiten en casi todos estos ataques. Una es el descuido y desconocimiento de algún usuario que mediante algún engaño de ingeniería social acaba descargando y ejecutando algún archivo malicioso que abre las puertas a los cibercriminales. Normalmente ocurre mediante correo electrónico instando al usuario a acceder a alguna dirección web o abrir algún archivo adjunto al mismo, simulando ser algún servicio conocido por este. La otra cuestión es la exposición de conexiones RDP en Internet sin los medios de prevención necesarios para evitar problemas.
Respecto a los ataques por RDP, pueden evitarse de una forma muy sencilla que muchos administradores de sistemas parecen olvidar dando pie a los problemas que luego lamentan relacionados con el ransomware.
Debido a la desidia tecnológica en ciberseguridad por parte de administradores y empresas, un nuevo grupo de ransomware que comenzó sus operaciones el pasado mes de agosto de este año 2022 se ha especializado precisamente en cifrar objetivos Windows con los servicios RDP expuestos. Este nuevo ransomware es conocido como «VENUS» y no tiene nada que ver con el ya conocido ransomware «VenusLocker» escrito en .NET que viene operando desde 2016.
¿Cómo se comporta «VENUS»?
Según el análisis publicado por BleepingComputer, en el momento en que es ejecutado el malware en el equipo, lo primero que hace es eliminar los registros de eventos de Windows y los volúmenes de Shadow Copy. También deshabilita la Prevención de Ejecución de Comandos (DEP). todo ello lo realiza mediante el siguiente comando en el sistema:
wbadmin delete catalog -quiet && vssadmin.exe delete shadows /all /quiet && bcdedit.exe /set {current} nx AlwaysOff && wmic SHADOWCOPY DELETE
También intenta detener varios procesos del sistema relacionados con servicios de bases de datos y aplicaciones de Microsoft Office. En el análisis del malware se han detectado los sigueintes procesos:
taskkill, msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, mydesktopqos.exe, agntsvc.exe, isqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, agntsvc.exe, agntsvc.exe, agntsvc.exe, encsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, sqlservr.exe, thebat64.exe, thunderbird.exe, winword.exe, wordpad.exe
Una vez comienza a cifrar los archivos del equipo, les agrega al nombre de los mismos la extension .venus, cambiando por ejemplo un archivo llamado «notas.doc» a «notas.doc.venus». En cada archivo cifrado, el malware añade al código del mismo un maracador con el texto «goodgamer» y un corto fragmento de código adicional del que no se ha podido identificar cuál es su función todavía.
El mismo malware crea también una nota de rescate en formato .hta en la carpeta %Temp% del sistema que se ejecuta automáticamente cuando el ransomware termina de cifrar los archivos del equipo.
En la nota de rescate se puede observar una dirección TOX y un correo electrónico que se pueden usar para contactar con el atacante y negociar el pago del rescate. Al final de la nota aparece un texto blob codificado en base64 que probablemente sea la clave de descifrado encriptada y que el atacante solicitará para poder pasar el descifrador a la víctima tras realizar el pago.
El ransomware «VENUS» está muy activo en estos momentos y el servicio de identificación de ransomware de MalwareHunterTeam no para de recibir archivos relacionados con este malware a diario.
Podemos ver una muestra en detalle en el servicio VirusTotal identificada con el hash «6d8e2d8f6aeb0f4512a53fe83b2ef7699513ebaff31735675f46d1beea3a8e05», un archivo ejecutable de Windows (.exe) con un tamaño de 225.50Kb
El grupo que opera este malware parece tener como objetivo los servicios de escritorio remoto expuestos públicamente, incluso aquellos que se ejecutan en puertos TCP no estándar. Es una creencia muy extendida entre administradores con poca experiencia en ciberseguridad que si utilizan un puerto distinto al estándar del RDP (puerto 3389) estarán seguros ante escaneos o ataques dirigidos a este servicio, cosa que no es cierta. Servicios de búsqueda de dispositivos como Shodan tiene identificados casi medio millón de equipos con este servicio expuesto y accesible desde Internet (honeypots incluidos).
Es de vital importancia proteger estos servicios tras un firewall y no tenerlos expuestos públicamente en Internet, debiendo ser solo accesibles a través de una VPN. Igual de importante es mantener al día las actualizaciones del software y sistema operativo y aplicar los parches de seguridad existentes a fin de evitar el aprovechamiento de vulnerabilidades conocidas como «Bluekeep» (CVE-2019-0708) así como mantener una política estricta de contraseñas seguras (recomendada una longitud mínima de 12 carácteres, uso de letras mayúsculas, minúsculas, números y símbolos).
Fuentes:
- https://www.bleepingcomputer.com/news/security/venus-ransomware-targets-publicly-exposed-remote-desktop-services/
- https://www.virustotal.com/gui/file/6d8e2d8f6aeb0f4512a53fe83b2ef7699513ebaff31735675f46d1beea3a8e05/details
- https://www.shodan.io/search?query=rdp
- https://www.hivesystems.io/blog/are-your-passwords-in-the-green?utm_source=tabletext
Deja una respuesta