Nueva Variante de Ransomware BitPaymer

12 Julio 2019
Alto

El CSIRT del Ministerio del Interior y Seguridad Pública, ha detectado muestras de Ransomware que coinciden con una nueva variante del BitPaymer, la cual afecta sistemas operativos de Microsoft Windows. El cifrado de archivos modifica su extensiones a “.locked” junto con la creación de un nuevo archivo .txt que mantiene el nombre original del archivo cifrado, detallando paso a paso el procedimiento para efectuar el pago del descifrado.

Bitpaymer es implementado directamente por un cibercriminal que ha accedido a su red a través de:

  • Puertos RDP no protegido.
  • Phishing.
  • Adjuntos maliciosos, descargas, o explotación de vulnerabilidades para obtener acceso a la red.

Los pagos de Bitpaymer suelen ser mucho más altos que el promedio del mercado de ransomware, esto se debe a la naturaleza altamente específica de los ataques. Bitpaymer se enfoca  a las organizaciones medianas y grandes ya que que tienen una mayor capacidad de pago en comparación con las pequeñas empresas y las personas. Es posible que el ransomware haya experimentado una baja en 2018, retomando su fuerza este año, solo que esta vez, los ataques buscan ser más específicos.

Según un estudio difundido por la empresa Coveware, la técnica de engaño por phishing a través de correo electrónico representó el 30,4% de las infecciones por ransomware, donde el 96% de las empresas comprometidas que pagaron por el rescate recibieron una herramienta de descifrado, variando la tasa de éxito de recuperación según el tipo de ransomware. Además indican en el informe que aún el 98% de la criptomoneda preferida en los ataques sigue siendo Bitcoin.

La mayoría de las variantes activas del ransomware Bitpaymer no se pueden descifrar con ninguna herramienta o software gratuito. NO debe pagar a una empresa de recuperación de datos ni a ningún otro proveedor de servicios para investigar el cifrado de sus archivos ya que utilizarán los servicios de descifrado gratuitos provistos en internet que no logran recuperar los archivos.

Se recomienda lo siguiente:

  • Cambiar el puerto utilizado por RDP a modo que no sea fácilmente detectado por los scanners. El puerto por defecto es el 3389.
  • Utilizar un servidor específico para RDP.  https://turbofuture.com/computers/What-is-Remote-Desktop-Gateway-and-how-to-install
  • Limitar el número de usuarios permitidos para conexiones de escritorio remoto.

Tags: #bitpaymer #btc #bitcoins #ransomware #malware #cifrado #rdp #rescate #onion #tor #pago #locked


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.