El ransomware se propaga a través de credenciales de escritorio remoto
Un nuevo programa de ransomware en Brasil está realizando ataques de fuerza bruta contra el protocolo RDP (Remote Desktop Protocol) y está infectando hospitales y otras organizaciones.
Las credenciales de escritorio remoto robadas o deficientes son habitualmente utilizadas para infectar sistemas de punto de venta con malware, pero recientemente también se han convertido en un método de distribución común de ransomware para cifrar archivos.
El pasado mes de marzo un grupo de investigadores descubrieron un programa de ransomware apodado “Sorpresa” que estaba siendo instalado a través de credenciales robadas de TeamViewer, una popular herramienta de administración remota.
No obstante, esta tendencia comenzó en 2015 cuando algunas variantes de ransomware fueron distribuidas mediante ataques de fuerza bruta contra el protocolo de escritorio remoto (RDP, por sus siglas en inglés).
Si bien este método de infección fue utilizado al principio por programas de ransomware relativamente oscuros, recientemente ha sido adoptado por un gran número de ciberdelincuentes y se ha incluido entre las familias de ransomware extendidas, como Crysis, un peligroso virus que infecta el ordenador y bloquea los archivos.
Los expertos en seguridad de la firma Kaspersky Lab han descubierto un nuevo ransomware que ha estado infectando hospitales y otras organizaciones en Brasil. Lo han llamado Trojan-Ransom.Win32.Xpan y afirman que se trata de una amenaza creada por la banda `TeamXRat´, un equipo de ciberdelincuentes especializados en troyanos de administración remota (RAT).
Según Kaspersky, este grupo realiza ataques de fuerza bruta contra servidores remotos conectados a internet y después instala manualmente el ransomware Xpan.
Brasil vende más servidores RDP comprometidos en el mercado clandestino que cualquier otro país. Es seguido por Rusia, España, Reino Unido y Estados Unidos.
Por fortuna, los autores del ransomware Xpan cometieron un error en la aplicación del cifrado que permitieron a los expertos de Kaspersky desarrollar un método para recuperar los archivos afectados sin tener que pagar por el rescate. No hay ninguna herramienta de descifrado que se pueda descargar, pero las víctimas de Xpan pueden ponerse en contacto con el departamento de seguridad de la compañía y pedirle ayuda.
Los errores de cifrado son muy comunes en programas de ransomware, sobre todo en los nuevos. Sin embargo, los desarrolladores de este software malicioso son muy rápidos en la corrección de defectos y, tarde o temprano, sus programas terminan utilizando cifrados inquebrantables.
