Desde junio un grupo de hackers estan rompiendo servidores de empresas a través de ataques RDP de fuerza bruta y la instalación manual del ransomware LockCrypt.
Según los expertos de Alien Vault los atacantes atacaron empresas en países como los EE.UU., el Reino Unido, Sudáfrica, India y Filipinas.LockCrypt por lo general se rompe en un servidor, y se mueve lateralmente a tantas máquinas como sea posible, y de forma manual corre el ransomware LockCrypt en cada sistema.
Cada equipo atacado por LockCrypt muestra una nota visual y de rescate, y los archivos están encriptados y cuentan con una nueva extensión .lock.
Para descifrar los datos bloqueados, las víctimas deben pagar rescates que por lo general varían entre 0,5 y 1 Bitcoin por servidor, o entre $ 3.500 y $ 7.000 por máquina.
Algunas empresas pueden enfrentar demandas de rescate de cientos de miles de dólares, si los atacantes logran comprometer un mayor número de sistemas.
Según el equipo de Alien Vault que fueron llamados a investigar algunos incidentes, las primeras versiones del ransomware LockCrypt ofrecieron una dirección de correo electrónico que fue previamente asociado con cepas ransomware generados a través del RaaS Satanás (ransomware-as-a-Service), lanzado en enero del 2017.
Los expertos creen que el grupo podría haber utilizado una cepa ransomware Satanás en el principio y utilizado los beneficios para codificar una versión personalizada después, que con el tiempo se convirtió en el ransomware LockCrypt.
También LockCrypt no es su cepa run-of-the-mill. El ransomware utiliza el cifrado fuerte, obtiene la persistencia de arranque, elimina las instantáneas de volumen, y ejecuta un archivo por lotes que mata todos los procesos centrales que no sean Windows, como una forma de asegurarse de que se detenga soluciones antivirus o cualquier otro proceso que pueda afectar el cifrado de archivos subsecuente proceso.
LockCrypt es sólo lo último de una larga lista de familias ransomware que los ciberdelincuentes diseminan a través de spam o explotan los kits, pero se basan en RDP ataques de fuerza bruta.
Familias ransomware anteriores instalan de la misma manera incluyen SynAck, Bit Paymer, RSAUtil, Xpan, Crysis, Samas (SamSam), DMA Locker, apocalipsis, Smrss32, Bucbi, Aura / BandarChor, ACCDFISA y Globo.
Fecha actualización el 2021-11-09. Fecha publicación el 2017-11-09. Categoría: Ransomware. Autor: Oscar olg Mapa del sitio Fuente: bleepingcomputer