Venus: Nuevo Ransomware Que Se Aprovecha De RDP Abiertos

Los actores de amenazas detrás del relativamente nuevo Venus Ransomware están atacando los servicios de escritorio remoto (RDP) expuestos públicamente para cifrar los dispositivos de Windows.

Venus Ransomware parece haber comenzado a operar a mediados de agosto de 2022 (muestra de septiembre) y desde entonces ha cifrado víctimas en todo el mundo. Sin embargo, hubo otro ransomware que usaba la misma extensión de archivo cifrado desde 2021, pero no está claro si están relacionados.

BleepingComputer publicó datos obtenidos a través de MalwareHunterTeam, quien fue contactado por el analista de seguridad Linuxct en busca de información al respecto. Linuxct dijo que los atacantes obtuvieron acceso a la red corporativa de la víctima a través del protocolo de escritorio remoto de Windows.

Otra víctima en los foros de BleepingComputer también informó que RDP se usaba para el acceso inicial a su red, incluso cuando se usaba un número de puerto no estándar para el servicio.

Cómo cifra Venus los dispositivos Windows

Cuando se ejecuta, el ransomware Venus intentará finalizar treinta y nueve procesos asociados con servidores de bases de datos y aplicaciones de Microsoft Office.

taskkill, msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe,
dbsnmp.exe, synctime.exe, mydesktopqos.exe, agntsvc.exe, isqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe,
ocautoupds.exe, agntsvc.exe, agntsvc.exe, agntsvc.exe, encsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe,
mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe,
mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, sqlservr.exe, thebat64.exe, thunderbird.exe, winword.exe, wordpad.exe

El ransomware también elimina los registros de eventos y los volúmenes de instantáneas y deshabilita la prevención de ejecución de datos mediante el siguiente comando:

wbadmin delete catalog -quiet && vssadmin.exe delete shadows /all /quiet &&
bcdedit.exe /set {current} nx AlwaysOff && wmic SHADOWCOPY DELETE

Al cifrar archivos, el ransomware agrega la extensión .venus, como se muestra a continuación:

En cada archivo cifrado, el ransomware agrega un marcador de archivo 'goodgamer' y otra información al final del archivo. No está claro cuál es esta información adicional en este momento.

El ransomware crearuna nota de rescate HTA en la carpeta %Temp% que se mostrará automáticamente cuando el ransomware termine de cifrar el dispositivo.

El ransomware comparte una dirección TOX y una dirección de correo electrónico que se pueden usar para contactar al atacante para negociar el pago de un rescate. Al final de la nota de rescate hay un blob codificado en Base64, que probablemente sea la clave de descifrado cifrada.

En este momento, el ransomware Venus está bastante activo, con nuevos envíos cargados a ID Ransomware diariamente.

Dado que el ransomware parece tener como objetivo los servicios de escritorio remoto expuestos públicamente, incluso aquellos que se ejecutan en puertos TCP no estándar, es vital proteger estos servicios con un firewall. Idealmente, ningún Servicio de escritorio remoto debe estar expuesto públicamente en Internet y solo debe ser accesible a través de una VPN.

Fuente: BC


Via: blog.segu-info.com.ar
Venus: Nuevo Ransomware Que Se Aprovecha De RDP Abiertos Venus: Nuevo Ransomware Que Se Aprovecha De RDP Abiertos Reviewed by Zion3R on 12:53 Rating: 5