Portada » Home » Ciberdelincuentes utilizan ransomware disponible públicamente para atacar la red obteniendo acceso RDP

Ciberdelincuentes utilizan ransomware disponible públicamente para atacar la red obteniendo acceso RDP

Actores maliciosos están dando nuevo uso a un troyano, ejecutando funcionas a través de escritorio remoto (RDP).

Kaspersky señaló que recientemente la mayoría de los actores de amenazas están utilizando nuevas formas de aprovechar el ransomware para ganar dinero. 

Los actores de amenazas están utilizando el ransomware para atacar toda la red obteniendo acceso RDP disponible públicamente y extrayendo Monero con la ayuda de XMRig Miner.

Los investigadores identificaron que el troyano estaba haciendo algunos intentos inusuales de afectar las computadoras de los usuarios. Este troyano se ejecutó para abrir el protocolo de escritorio remoto (RDP) en las computadoras de las víctimas.

El ataque está detrás de grupos organizados y, por lo tanto, utiliza ransomware disponible públicamente, dirigido a usuarios comunes en lugar del sector corporativo.

Los atacantes emplearon una técnica única para expandir el pago de todos y cada uno de los sistemas de infección. Para realizar esta operación, los actores de amenazas ejecutan un programa de administrador para agregar un nuevo usuario para obtener el acceso RDP a la computadora.

Una vez realizada esta operación, el ransomware Trojan-Ransom.Win32. Crusis se inició en la misma máquina, seguido por el cargador del minero XMRig, que luego se dedicó a extraer la criptomoneda Monero.

Minero de Cliptomaner

Cliptomaner es una exposición pública que utilizan Microsoft Security Essentials, Windows Defender y otros antivirus para un archivo que se asemeja a tener funciones o rendimiento de tipo troyano y también usa XMRig para extraer Monero.

Puerta trasera Prometei

Prometei es un bruto modular que se utiliza generalmente en los ataques dirigidos contra los sistemas Windows Server. La puerta trasera de Prometei está activa desde 2016 y fue escrita en lenguaje C ++ y .NET.

Esta vez, la puerta trasera se dividió de manera inusual y, a través de ataques ordinarios, los ciberdelincuentes obtienen acceso al servidor mediante varios exploits. No solo esto, incluso esta vez, la puerta trasera también usó ataques de fuerza bruta.

Indicadores de compromiso (IoC)

Dominios

taskhostw [.] com
svchost [.] xyz
sihost [.] xyz
srhost [.] xyz
2fsdfsdgvsdvzxcwwef-defender [.] xyz

Cryptowallets utilizados para sustitución

LTC: LPor3PrQHcQv4obYKEZpnbqQEr8LMZoUuX
BTC: 33yPjjSMGHPp8zj1ZXySNJzSUfVSbpXEuL
ETH: 0x795957d9753e854b62C64cF880Ae22c8Ab14991b
ZEC: t1ZbJBqHQyytNYtCpDWFQzqPQ5xKftePPt8
DODGE: DEUjj7mi5N67b6LYZPApyoV8Ek8hdNL1V

Md5

1273d0062a9c0a87e2b53e841b261976
16b9c67bc36957062c17c0eff03b48f3
d202d4a3f832a08cb8122d0154712dd1
6ca170ece252721ed6cc3cfa3302d6f0
1357b42546dc1d202aa9712f7b29aa0d
78f5094fa66a9aa4dc10470d5c3e3155