Nuevo ransomware “Nemty” se propaga a través de RDP

26 Agosto 2019
Alto

Investigadores de “Bleeping Computer” detectaron un nuevo ransomware llamado “Nemty” por la extensión que agrega a los archivos después del proceso de cifrado. El ransomware elimina los temporales almacenados en memoria de los archivos que están siendo procesados, quitándole a la víctima la posibilidad de recuperar versiones de los datos tal como los creó el sistema operativo Windows. 

Nemty, sigue los mismos procesos de infección de un ransomware, cifrando los archivos y advirtiendo a las víctimas sobre su impacto en el sistema. El aviso del ataque llega mediante una nota de rescate que informa que los atacantes tienen la clave del cifrado y que los datos son recuperables por un precio. 

Este ransomware se diferencia del resto por su forma de propagación que en vez de esperar a que la víctima sea engañada por un correo de phishing, explota vulnerabilidades del protocolo RDP para tomar control de la máquina e inducir el cifrado de los archivos para solicitar su rescate.

Otro funcionalidad interesante es la verificación que realiza para identificar computadoras en Rusia, Bielorrusia, Kazajstán, Tayikistán y Ucrania. Se ha identificado que este comportamiento no lo hace para eximir a los hosts de estos países, sino más bien para obtener información extra que incluyen el nombre de la computadora, el nombre de usuario, el sistema operativo y la identificación de la computadora.

No existen antecedentes de que Nemty haya comprometido algún sistema dentro del cono latinoamericano, sin embargo se estima que se produzcan las primeras infecciones dentro del mes de septiembre.

¿A qué estuvimos enfrentados durante el segundo trimestre de 2019?

La empresa Coveware, que se encarga de asesorar en la recuperación de ransomware, informó que la distribución del malware a través de vulnerabilidades del protocolo RDP representó el 59,1% de las infecciones, donde el 96% de las empresas comprometidas que pagaron por el rescate recibieron una herramienta de descifrado, teniendo una tasa promedio de recuperación del 92% de sus archivos. Asimismo, menciona que aún el 99% de la criptomoneda preferida en los ataques de ransomware sigue siendo Bitcoin. 

Finalmente, es importante destacar que el costo total de un ataque de Ransomware se puede dividir en dos costos principales:

  • Primero, el costo de recuperación. Estos gastos cubren revisiones forenses y asistencia en la reconstitución de servidores y estaciones de trabajo. Si se paga un rescate, entonces eso también es un gasto de recuperación.
  • El Segundo, es el costo total del tiempo de inactividad, que en promedio se estiman en 9,6 días. Los costos de tiempo de inactividad suelen ser de 5 a 10 veces la cantidad de rescate real y se miden en pérdida de productividad (oportunidades de ingresos perdidos).

Se ha evidenciado que Nemty Ransomware solicita un rescate promedio de 0,09981 BTC que fluctúa entre los 1.000 dólares estadounidenses.

Se recomienda lo siguiente:

  • Cambiar el puerto utilizado por RDP a modo que no sea fácilmente detectado por los scanners. El puerto por defecto es el 3389.
  • Utilizar un servidor específico para RDP.  https://turbofuture.com/computers/What-is-Remote-Desktop-Gateway-and-how-to-install
  • Limitar el número de usuarios permitidos para conexiones de escritorio remoto.
  • Realizar copias de seguridad de los datos y aplicaciones de la organización periódicamente para que, ante algún ataque, permita continuar con las operaciones que aseguren la continuidad del negocio de la organización. Se recomienda que se realice en ambientes física y lógicamente separados de la red para aumentar el nivel de seguridad en los respaldos.
  • Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.

Tags: #nemty #ransomware #malware #rdp #windows #cifrado


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.