As credenciais fracas de desktop remotos geralmente são usadas para infectar sistemas de pontos de venda com malware, mas hoje elas também se tornaram um método comum de distribuição para o ransomware.
Em março de 2016, pesquisadores de segurança da Kaspersky descobriram um programa de ransomware chamado Surprise que estava sendo instalado por meio de credenciais roubadas do TeamViewer, uma ferramenta popular para administração remota. No entanto, a tendência começou bem antes disso, tendo variações de ransomware distribuídas por meio de ataques de força bruta a fim de descobrir senhas contra servidores Remote Desktop Protocol (RDP) desde 2015.
Recentemente ele foi partilhado por um número cada vez maior de cibercriminosos, incluindo aqueles por trás de programas de ransomware com grande alcance como Crysis.
A Kaspersky descobriu ainda um novo programa de ransomware que infectou hospitais e algumas empresas no Brasil. A ameaça foi nomeada como Trojan-Ransom.Win32.Xpan, criada pela gangue TeamXRat, anteriormente especializada em trojans de acesso remoto (RATs).
Segundo a empresa, os cibercriminosos da TeamXRat realizaram ataques de força bruta contra servidores RDP conectados à Internet e instalaram manualmente o ransomware nos servidores hackeados.
“Uma vez que o servidor é comprometido, o invasor desabilita manualmente o app de antivírus instalado no servidor e realiza a infecção”, relatam os pesquisadores da Kaspersky.
O país possui mais servidores RDP comprometidos sendo vendidos no mercado negro do que qualquer outro país, estando a frente da Rússia, Espanha, Reino Unido e EUA.
Ainda de acordo com a Kaspersky, no caso do Xpan, os autores do ransomware cometeram um erro na sua implementação da criptografia que permitiu à empresa desenvolver um método para recuperar os arquivos afetados sem precisar pagar o “resgate”.
Alguns erros na implementação de criptografia não são incomuns em programas de ransomware, especialmente nos mais novos. Entretanto, os desenvolvedores de ransomware geralmente são rápidos em corrigir as falhas e o programa acaba usando uma criptografia forte e inquebrável.
Fonte
FortiSRA: Acesso Remoto Seguro para Sistemas OT
Brasil vê ciberataques crescerem 38% no primeiro trimestre
