Gli esperti del MalwareHunterTeam hanno scoperto una campagna malevola che sfrutta i servizi di desktop remoto per distribuire il nuovo ransomware “Venus” sui sistemi Windows. Gli attacchi sono iniziati a metà agosto e da allora hanno crittografato vittime in tutto il mondo.
Un ricercatore di sicurezza ha chiesto informazioni al MalwareHunterTeam riferendo che i threat actors hanno ottenuto l’accesso alla rete aziendale di una vittima tramite il protocollo Windows Remote Desktop. Una vittima ha riferito nei forum BleepingComputer che RDP è stato utilizzato per l’accesso iniziale alla propria rete, nonostante utilizzasse un numero di porta non standard per il servizio.
Come Venus crittografa i dispositivi Windows
Una volta eseguito, il ransomware Venus tenterà di terminare trentanove processi associati ai server di database e alle applicazioni di Microsoft Office. Il ransomware eliminerà anche i log degli eventi e le copie shadow dei volumi per eliminare le tracce e impedire il ripristino tramite backup e disabiliterà la funzionalità Data Execution Prevention.
Durante la crittografia dei file, il ransomware aggiungerà poi l’estensione .venus. Ad esempio, un file chiamato test.jpg verrebbe crittografato e rinominato test.jpg. Venus.
A questo punto, in ogni file crittografato, il ransomware aggiungerà un filemarker “goodgamer” e altre informazioni aggiuntive alla fine del file (al momento non è chiaro quali siano queste informazioni).
Infine, il ransomware creerà una richiesta di riscatto HTA con i riferimenti da contattare per ricevere il decryptor. Venus condivide un indirizzo TOX e un indirizzo e-mail che possono essere utilizzati per contattare l’attaccante per negoziare un pagamento del riscatto. Alla fine della richiesta di riscatto c’è un blob codificato in base64, che è probabilmente la chiave di decrittazione crittografata.
“In questo momento, il ransomware Venus è abbastanza attivo, con nuovi invii caricati quotidianamente su ID Ransomware. Poiché il ransomware sembra prendere di mira i servizi di desktop remoto esposti al pubblico e anche quelli in esecuzione su porte TCP non standard, è fondamentale mettere questi servizi dietro un firewall. Idealmente, nessun servizio di desktop remoto dovrebbe essere esposto pubblicamente su Internet ed essere accessibile solo tramite una VPN”, conclude BleepingComputer.
https://www.punto-informatico.it/venus-nuovo-ransomware-distribuito-tramite-rdp/