Se encuentra un grupo de ransomware relativamente nuevo que golpea las conexiones de escritorio remoto expuestas públicamente, incluso a través de los puertos no estándar.
Llamado Venus Ransomware, el grupo finaliza una serie de procesos legítimos de Windows antes de cifrar el sistema de destino e incluso elimina los registros de eventos y las instantáneas para evitar la recuperación de datos.
Modus operandi del ransomware Venus
Como señaló un analista de seguridad y más tarde por BleepingEquipoun nuevo ransomware llamado grupo Venus, que comenzó sus operaciones en agosto de 2022, ha estado apuntando a sistemas de escritorio remotos expuestos públicamente.
@malwrhunterteam Oye, ¿tienes algún detalle sobre el ransomware ‘Venus’ (no VenusLocker, la extensión es .venus en lugar de .venusf)? La infección ocurrió a través de RDP. Puede dar más detalles en DM si lo desea.
— linuxct (@linuxct) 6 de octubre de 2022
Comenzando, el ransomware Venus intentará finalizar los siguientes 39 procesos – asociado con servidores de bases de datos y aplicaciones de Microsoft Office – antes de proceder a cifrar los datos del sistema de la víctima.
taskkill, msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, mydesktopqos.exe, agntsvc.exe, isqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, agntsvc.exe, agntsvc.exe, agntsvc.exe, encsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, sqlservr.exe, thebat64.exe, thunderbird.exe, winword.exe, wordpad.exe
Además, el ransomware también eliminará los registros de eventos, los volúmenes de instantáneas y deshabilitará la prevención de ejecución de datos para evitar que la víctima recupere datos sin usar su clave de descifrado. Después de todo esto, la pandilla procederá a encriptar los archivos y adjuntar el .Venus extensión a todos los archivos cifrados.
Los investigadores han descubierto que todos los archivos cifrados tienen un marcador de archivo como ‘buen jugador‘, y otra información al final del archivo, que no tiene un propósito claro. Bueno, crean una nota de rescate HTA en la carpeta %Temp% para que se muestre automáticamente cuando finaliza el proceso de cifrado.
El ransomware menciona su dirección TOX y su dirección de correo electrónico para contactar a las víctimas y hablar sobre el rescate. Los investigadores advirtieron a los administradores del sistema que tienen abiertas sus conexiones de escritorio remoto que deberían ocultarlas detrás de un firewall, ya que también está afectando a los puertos TCP no estándar.
Además, es muy recomendable tener acceso a dichos sistemas a través de una VPN si se supone que deben estar expuestos al público. Asegurarlos es la mejor manera de evitar ser ciberatacados, dicen los expertos.
