Panda: ‘Crysis’ mundial a través del protocolo de escritorio remoto
Hace un par de semanas en PandaLabs, nuestro laboratorio antimalware, descubrimos un ataque de ransomware en un servidor perteneciente a una empresa francesa. Se trata de una variante de Crysis, una familia de ransomware surgida a principios de año. Y si bien es cierto que diario somos testigos de miles de intentos de infección que utilizan este tipo de malware, este caso nos llamó la atención especialmente ya que el archivo aparecía en el equipo infectado en un momento en que se suponía que nadie estaba utilizándolo, y de hecho, en el momento del ataque no había ni clientes de correo ni navegadores de Internet que estuviesen ejecutándose.
Entonces, ¿cómo llegó al equipo? ¿Cómo es que las medidas de seguridad de la empresa no evitaron que el archivo llegase al servidor?
Para responder a estas interrogantes, los investigadores del laboratorio antimalware de Panda Security, PandaLabs, liderados por Luis Corrons, emprendieron una investigación en la que descubrieron el “modus oprandi” utilizado en este tipo de ataque: el servidor en cuestión ejecutaba el Protocolo de Escritorio Remoto (RDP), y los ciber-delincuentes emplearon un ataque de fuerza bruta recurrente hasta adivinar las credenciales que les permitieron obtener acceso remoto.
“Descubrimos que, en esta empresa, como es común en la mayoría de usuarios, no se utilizan sistemas de autenticación en dos fases (2FA), y sus contraseñas no son ni demasiado complejas ni aleatorias, por lo que resulta relativamente sencillo acceder a un servidor utilizando este tipo de ataque de fuerza bruta, un buen diccionario y probando las combinaciones más comunes” comentó Luis Corrons. La verdad es que esta técnica no es nueva. “Recuerdo una ola de ataques de ransomware que afectó a un grupo de empresas españolas hace más de un año y que utilizaba la misma técnica”, agregó. De hecho, es común que los delincuentes realicen esos ataques por la noche o durante el fin de semana, cuando no hay nadie o casi nadie trabajando en la oficina.
En el caso que nos ocupa, el ataque al servidor empezó el 16 de mayo, fecha en la que hubo 700 intentos de inicio de sesión. Todos estos intentos se realizaron de forma automática, normalmente en periodos de alrededor de 2 horas. “La mayoría tenían lugar de 1 AM a 3 AM, o de 3 AM a 5 AM, un día tras otro. Sin embargo, el número de intentos de inicio de sesión variaba. Por ejemplo, el 18 de mayo hubo 1976 intentos, mientras que el 1 de julio se produjeron 1342” puntualizó el director de PandaLabs.
Al cabo de 4 meses y más de 100.000 intentos de inicio de sesión, los atacantes lograron por fin entrar en el servidor y “depositar” el ransomware Crysis.
En PandaLabs tenemos información de que se han registrado ataques similares en Australia y Nueva Zelanda, que también propagan variantes de Crysis. Sin embargo, podemos afirmar que no se trata de los únicos países afectados, pues entendemos que hay ataques que se están sucediendo a escala mundial al menos desde mayo.
Teniendo en cuenta que para que el ataque tenga éxito es necesario que el equipo afectado esté ejecutando el protocolo de escritorio remoto y conectado a Internet, nuestra recomendación es monitorear constantemente todos los intentos de conexión para detectar cualquier ataque en el momento en que se produzca, además de utilizar contraseñas seguras y sobre todo sistemas 2FA, como los que envían códigos de verificación vía SMS, que hagan inútil la posible obtención fraudulenta de contraseñas.
