Venus: nuevo ransomware que se aprovecha de RDP abiertos





Los actores de amenazas detrás del relativamente nuevo Venus Ransomware están atacando los servicios de escritorio remoto (RDP) expuestos públicamente para cifrar los dispositivos de Windows.


Venus Ransomware parece haber comenzado a operar a mediados de agosto de 2022 y desde entonces ha cifrado víctimas en todo el mundo. Sin embargo, hubo otro ransomware que usaba la misma extensión de archivo cifrado desde 2021, pero no está claro si están relacionados.





BleepingComputer publicó datos obtenidos a través de MalwareHunterTeam, quien fue contactado por el analista de seguridad Linuxct en busca de información al respecto. Linux dijo que los atacantes obtuvieron acceso a la red corporativa de la víctima a través del protocolo de escritorio remoto de Windows.


Cómo cifra Venus los dispositivos Windows

Cuando se ejecuta, el ransomware Venus intentará finalizar treinta y nueve procesos asociados con servidores de bases de datos y aplicaciones de Microsoft Office.


El ransomware también elimina los registros de eventos y los volúmenes de instantáneas y deshabilita la prevención de ejecución de datos mediante el siguiente comando:


wbadmin delete catalog quiet && vssadmin.exe delete shadows /all /quiet && bcdedit.exe /set {current} nx AlwaysOff && wmic SHADOWCOPY DELETE


En cada archivo cifrado, el ransomware agrega un marcador de archivo 'goodgamer' y otra información al final del archivo. No está claro cuál es esta información adicional en este momento.


El ransomware crea una nota de rescate HTA en la carpeta %Temp% que se mostrará automáticamente cuando el ransomware termine de cifrar el dispositivo.


El ransomware comparte una dirección TOX y una dirección de correo electrónico que se pueden usar para contactar al atacante para negociar el pago de un rescate. Al final de la nota de rescate hay un blob codificado en Base64, que probablemente sea la clave de descifrado cifrada.


En este momento, el ransomware Venus está bastante activo, con nuevos envíos cargados a ID Ransomware diariamente.


Dado que el ransomware parece tener como objetivo los servicios de escritorio remoto expuestos públicamente, incluso aquellos que se ejecutan en puertos TCP no estándar, es vital proteger estos servicios con un firewall.


Idealmente, ningún servicio de escritorio remoto debe estar expuesto públicamente en Internet y solo debe ser ac cesible a través de una VPN.


Fuente: BC