El equipo de seguridad de Microsoft reveló un nuevo ransomware que se implementa en los ataques operados por humanos. Utiliza la "fuerza bruta" contra el servidor de gestión de sistemas de una empresa objetivo, y se ha dirigido principalmente al sector de la salud en medio de la crisis de COVID-19.
Según una serie de tuits publicados por el gigante tecnológico el 27 de mayo, el ataque de ransomware operado por humanos, llamado "PonyFinal", requiere que los piratas informáticos rompan el esquema de seguridad de las redes corporativas para desplegar el ransomware manualmente .
Eso significa que PonyFinal no depende en engañar a los usuarios para que lancen la carga a través de enlaces de phishing o correos electrónicos.
Un ataque de ransomware basado en Java
Pony Final está basado en Java e implementa un Entorno de Ejecución de Java, o JRE. La evidencia encontrada por Microsoft muestra que los atacantes utilizan la información robada del servidor de administración de sistemas para apuntar a los puntos finales donde el JRE ya está instalado.
El informe afirma además que el rescate se entrega a través de un archivo MSI que contiene dos archivos por lotes, incluyendo la carga útil que será activada por el atacante.
Phillip Misner, director de investigación de Protección de Amenazas de Microsoft, aclara que hay otras campañas de ransomware operadas por humanos como Bitpaymer, Ryuk, Revil y Samas. PonyFinal fue detectado por primera vez a principios de abril.
Más de un grupo de atacantes están usando PonyFinal
En el informe se destaca que la autoría no puede atribuirse a un solo grupo de atacantes, ya que varios grupos de piratas informáticos están utilizando esta misma forma de ransomware.
Hablando con Cointelegraph, Brett Callow, analista de amenazas en el laboratorio de malware, Emsisoft, proporcionó la siguiente información sobre PonyFinal:
"El ransomware operado por humanos como PonyFinal no es inusual y tampoco lo es su método de distribución que, según Microsoft, es 'a través de ataques de fuerza bruta contra el servidor de administración de sistemas de una compañía objetivo'. Los ataques a los servidores de Internet no son en absoluto inusuales y representan un porcentaje significativo de los incidentes de ransomware. Pero también son mayormente prevenibles ya que tales ataques normalmente sólo tienen éxito debido a una debilidad o vulnerabilidad de seguridad".
Callow añade que las empresas pueden reducir significativamente la probabilidad de ser atacadas con éxito si se adhieren a las mejores prácticas: utilizar la autenticación multifactorial, aplicar rápidamente los parches y desactivar PowerShell cuando sea posible.
Los últimos ataques con ransomware en medio de la pandemia del coronavirus
Los ataques con ransomware se siguen llevando a cabo en diferentes partes del mundo en medio de la crisis de COVID-19, y muchos se dirigen a las empresas de salud.
Cointelegraph infoirmó el 30 de marzo que los operadores del ransomware Ryuk continúan atacando los hospitales.
El 7 de mayo, los hackers supuestamente infectaron la infraestructura de IT del hospital privado más grande de Europa, Fresenius con sede en Alemania, con un programa de ransomware conocido como Snake.
No dejes de leer:
- Los ataques con ransomware están aumentando en el sector de la educación
- Un nuevo grupo de ransomware emplea un método de ataque nunca antes visto
- Un conocido distribuidor de huevos es la nueva víctima de ransomware, ¿será que las gallinas pondrán Bitcoin?
- Piratas informáticos atacan sistema de tránsito de Sacramento por recompensa de 1 BTC
- El criptocrimen mantiene el ritmo con el aumento de criptos
- Paquete bomba en Alemania exige 10 millones de euros de rescate en Bitcoin
- La última vez que sucedió esto, Bitcoin aumentó de 3,150 a 14,000 dólares