Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1058
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
▼
2022
(Total:
967
)
-
▼
octubre
(Total:
59
)
- LinkedIn detectará perfiles falsos
- Telefónica sufre un ciberataque y recomienda cambi...
- Disponible distro Zorin OS 16.2
- Kodi 20 Nexus
- Es posible saber la ubicación en app's de mensajer...
- Musk despide al CEO y varios ejecutivos de Twitter
- Grave vulnerabilidad en SQLite desde hace 22 años
- Navegador Brave bloquea por defecto el molesto avi...
- Tras 9 años, ya disponible nueva versión de MemTes...
- Final de soporte para Google Chrome en Windows 7 y...
- Cuenta de usuario sin permisos de administrador en...
- Cables submarinos de Internet, ¿próximo objetivo d...
- PC Manager es la nueva herramienta de limpieza de ...
- Venus es un nuevo ransomware que se aprovecha del ...
- Récord de transferencia de datos: ⚡ 1,84 petabits ...
- Tras el Hackeo al Ministerio de Salud Argentino: p...
- Grupo Black Reward hackea una planta de energía nu...
- Recuperar archivos borrados en Android
- Recuperar cuentas hackeadas
- Europa prohibirá la venta de televisores 8K por su...
- Detenido un nigeriano por estafar a una mujer alic...
- Disponible Asterisk 20, versión LTS de la centrali...
- Android 13 Go edition requiere de 2GB de RAM y 16G...
- Asistentes al Mundial de Fútbol de Qatar deberán i...
- Tails 5.5, nueva versión del ‘amnesic incognito li...
- El 40% de los chips que China exporta a Rusia son ...
- Detenido en Brasil un sospechoso vinculado al grup...
- Microsoft expone por error los datos de 65 mil ent...
- Un soldado, tras las pruebas con las gafas de comb...
- Firefox 106 con edición de PDF y mejoras en los so...
- KataOS, el OS open source de Google para dispositi...
- Google implementa sistema Passkey (sin contraseña)...
- Las nuevas RTX 4090 permiten crackear contraseñas ...
- Google Chrome introducirá una característica para ...
- YoWhatsApp y el gran peligro de las apps modificadas
- Microsoft presenta Surface Pro 9 con Intel o ARM 5...
- Phishing-as-a-Service: Caffeine
- Detectar y prevenir volcados de credenciales LSASS...
- Windows 7 sigue siendo más usado que Windows 11 en...
- Ya disponible VirtualBox 7.0
- Alemania destituye al jefe de la ciberseguridad al...
- Ransomware por suscripción (as a Service) RaaS
- Toyota sufre una filtración de datos
- Grupo KillNet realiza ataques DDoS a webs de aerop...
- Hackean la televisión estatal de Irán
- Google Chrome es el navegador con más vulnerabilid...
- Localizar y bloquear ordenador portátil robado o p...
- Ferrari sufre un ciberataque de ransomware y le ro...
- Ciberataque de ransomware afecta a hospitales y am...
- Google presenta oficialmente Google Pixel 7 y 7 Pro
- El exjefe de seguridad de Uber declarado culpable ...
- Elon Musk, al final, acepta comprar Twitter sin mo...
- Versión troyanizada del navegador Tor en popular c...
- El videojuego OverWatch 2 sufre un ataque DDoS el ...
- Bot de PornHub para evitar el abuso sexual infantil
- Malware multiplataforma Chaos infecta dispositivos...
- Vulnerabilidad 0-day en Exchange explotada activam...
- Confirmado: tres periodistas de México fueron espi...
- Grupo Guacamaya hackeó SEDENA (Secretaría de la De...
- ► septiembre (Total: 72 )
-
▼
octubre
(Total:
59
)
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Un fallo de diseño en el mecanismo de registro del servidor VPN de Fortinet puede aprovecharse para ocultar la verificación exitosa de cre...
-
Trinity asegura haber robado 560 GB de datos de la Agencia Tributaria (AEAT) española, así como haber secuestrado parte de sus sistemas, ci...
Venus es un nuevo ransomware que se aprovecha del Escritorio Remoto RDP
Es ya muy conocido que los servicios de Escritorio Remoto (Remote Desktop Protocol o RDP por sus siglas en inglés) son utilizados ampliamente por los cibercriminales como puerta de entrada en sus ataques, tanto por las vulnerabilidades existentes en sistemas Windows como por la poca robustez de las credenciales usadas por muchos de los usuarios y las insuficientes defensas usadas en muchas infraestructuras, quedando expuestos ante cualquier ataque por fuerza bruta. A pesar de esto, cientos de miles de equipos siguen teniendo expuestos servicios de RDP en Internet sin ningún tipo de protección.
- Respecto a los ataques por RDP, pueden evitarse de una forma muy sencilla que muchos administradores de sistemas parecen olvidar dando pie a los problemas que luego lamentan relacionados con el ransomware.
- un nuevo grupo de ransomware que comenzó sus operaciones el pasado mes
de agosto de este año 2022 se ha especializado precisamente en cifrar
objetivos Windows con los servicios RDP expuestos. Este nuevo ransomware
es conocido como «VENUS» y no tiene nada que ver con el ya conocido ransomware «VenusLocker» escrito en .NET que viene operando desde 2016.
Los actores de amenazas detrás del relativamente nuevo Venus Ransomware están atacando los servicios de escritorio remoto (RDP) expuestos públicamente para cifrar los dispositivos de Windows.
Venus Ransomware parece haber comenzado a operar a mediados de agosto de 2022 (muestra de septiembre) y desde entonces ha cifrado víctimas en todo el mundo. Sin embargo, hubo otro ransomware que usaba la misma extensión de archivo cifrado desde 2021, pero no está claro si están relacionados.
BleepingComputer publicó datos obtenidos a través de MalwareHunterTeam, quien fue contactado por el analista de seguridad Linuxct en busca de información al respecto. Linuxct dijo que los atacantes obtuvieron acceso a la red corporativa de la víctima a través del protocolo de escritorio remoto de Windows.
Otra víctima en los foros de BleepingComputer también informó que RDP se usaba para el acceso inicial a su red, incluso cuando se usaba un número de puerto no estándar para el servicio.
Cómo cifra Venus los dispositivos Windows
Cuando se ejecuta, el ransomware Venus intentará finalizar treinta y nueve procesos asociados con servidores de bases de datos y aplicaciones de Microsoft Office.
taskkill, msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, mydesktopqos.exe, agntsvc.exe, isqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, agntsvc.exe, agntsvc.exe, agntsvc.exe, encsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, sqlservr.exe, thebat64.exe, thunderbird.exe, winword.exe, wordpad.exe
El ransomware también elimina los registros de eventos y los volúmenes de instantáneas y deshabilita la prevención de ejecución de datos mediante el siguiente comando:
wbadmin delete catalog -quiet && vssadmin.exe delete shadows /all /quiet && bcdedit.exe /set {current} nx AlwaysOff && wmic SHADOWCOPY DELETE
Una vez comienza a cifrar los archivos del equipo, les agrega al nombre de los mismos la extension .venus, cambiando por ejemplo un archivo llamado «notas.doc» a «notas.doc.venus». En cada archivo cifrado, el malware añade al código del mismo un marcador con el texto «goodgamer» y un corto fragmento de código adicional del que no se ha podido identificar cuál es su función todavía.
El ransomware comparte una dirección TOX y una dirección de correo electrónico que se pueden usar para contactar al atacante para negociar el pago de un rescate. Al final de la nota de rescate hay un blob codificado en Base64, que probablemente sea la clave de descifrado cifrada.
En este momento, el ransomware Venus está bastante activo, con nuevos envíos cargados a ID Ransomware diariamente.
El grupo que opera este malware parece tener como objetivo los servicios de escritorio remoto expuestos públicamente, incluso aquellos que se ejecutan en puertos TCP no estándar. Es una creencia muy extendida entre administradores con poca experiencia en ciberseguridad que si utilizan un puerto distinto al estándar del RDP (puerto 3389) estarán seguros ante escaneos o ataques dirigidos a este servicio, cosa que no es cierta. Servicios de búsqueda de dispositivos como Shodan tiene identificados casi medio millón de equipos con este servicio expuesto y accesible desde Internet (honeypots incluidos).
Dado que el ransomware parece tener como objetivo los servicios de escritorio remoto expuestos públicamente, incluso aquellos que se ejecutan en puertos TCP no estándar, es vital proteger estos servicios con un firewall. Idealmente, ningún Servicio de escritorio remoto debe estar expuesto públicamente en Internet y solo debe ser accesible a través de una VPN.
Fuentes:
https://blog.segu-info.com.ar/2022/10/venus-nuevo-ransomware-que-se-aprovecha.html
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.