Bots de Phorpiex realizan propagación de Ransomware

30 Septiembre 2018
Crítico

Investigadores de Security Scorecard descubrieron que bots de Phorpiex intentaron propagar el ransomware de GandCrab a computadores de empresas que ejecutan aplicaciones de acceso remoto.

Para ello eligieron el bot Phorpiex / Trik, que tiene capacidades de gusano, lo que le permite propagarse a otros sistemas al copiarse a los USB y otras unidades extraíbles.

Este malware, muy poco sofisticado, intenta obtener acceso a dispositivos mediante una listas de nombres de usuario y contraseñas ampliamente utilizadas, tales como “contraseña”, "prueba", "Prueba", "servidor","admin", "123123", "123456" y similares).

El malware genera aleatoriamente la dirección IP de un objetivo e intenta conectarse a través del puerto 5900. Si tiene éxito, inserta el ransomware y deja al usuario con archivos bloqueados y una solicitud de rescate.

No se sabe cuántos computadores están infectados con el ransomware a través del puerto 5900 pero sí, que hay 68.000 IP únicas infectadas con Phorpiex., principalmente en EE. UU., Canadá, ciertos países europeos, Turquía, China, Japón, Taiwán y Australia.

Mitigaciones:
Si bien no se sabe de equipos infectados en Chile, si observas que un computador se está comunicando con otro a través del puerto 5900 y no se están utilizando aplicaciones de acceso remoto, podrían haber equipos infectados. Te recomendamos tomar las siguientes precauciones:
Asegura las contraseñas de los servidores RDP y VNC y que éstas sean sólidas (largas, complejas y únicas).
Ejecuta la protección de antivirus en todos los medios extraíbles.
Evalúa constantemente tus controles de ciberseguridad, para comprobar su eficacia. También realiza los cambios que sean necesarios para prevenir posibles ataques.


Tags: #ransomware #windows #porphiex #grandcrab #bots

Contacto

¡Cuenta con nosotros!
inteligencia@cci-entel.cl


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.