Els principals tipus d’atacs de ‘ransomware’ a petites i mitjanes empreses

Phobos i Dharma usen eines d’accés com el protocol RDP per segrestar els arxius.

Les empreses petites i mitjanes s’estan veient especialment afectades aquest any 2020 pels atacs a través del protocol Remote Desktop Protocol (RDP) de Microsoft, que els ciberdelinqüents usen per infectar amb ransomware. L’augment del teletreball és el principal motiu que, amb les dades actuals, la meitat dels atacs detectats de ransomware es facin mitjançant aquesta via.

Remote Desktop Protocol (RDP): És un protocol propietari desenvolupat per Microsoft que proporciona a l’usuari una interfície gràfica per connectar-se a un altre ordinador mitjançant una connexió de xarxa.

Programes de segrest

Phobos i Dharma

Un cas destacat de programari de segrest que utilitza aquest vector és Phobos, amb un 100% dels atacs realitzats utilitzant-lo. El seu atac està dirigit cap a mitjanes empreses de menys de 100 treballadors.

Phobos accedeix a les connexions mitjançant l’ús de:

  • la força bruta per obtenir credencials RDP,
  • credencials RDP robades o comprades,
  • una connexió no segura al port 3389.

A més de bloquejar els fitxers de la víctima, Phobos suprimeix les còpies de seguretat dels fitxers, així com el punt de restauració del sistema.

No és l’únic tipus de ransomware que fa servir aquest protocol. Els atacs de Dharma també exploten quasi en la seva totalitat (85%) eines d’accés com RDP. Dharma instal·la i llança els components necessaris per distribuir el ransomware a la xarxa víctima.


Sodinokibi i Maze

Hi ha dues varietats més de ransomware que també estan causant importants danys a petites i mitjanes empreses. Un té per nom Sodinokibi (també conegut com a REvil), per a sistemes Windows i que segueix el model RaaS (Ransomware as a Service), és a dir, codi maliciós que es comercialitza de manera personalitzada ajustant-ne a les necessitats de cada usuari o subscriptor. La seva propagació pot donar-se mitjançant correus maliciosos i campanyes d’spam, publicitat maliciosa (per exemple, anuncis que apareixen durant la navegació per Internet), atacs de força bruta sobre el protocol RDP, o explotació de la vulnerabilitat CVE-2019-2725 que afecta sistemes Oracle.

L’altra varietat s’anomena Maze, molt activa des del mes de maig de 2020, quan es va començar a distribuir a través de correus electrònics brossa enviats des de dominis maliciosos. A més del phishing, els atacants poden aprofitar vulnerabilitats del sistema no corregides o connexions d’escriptori remot amb contrasenyes febles. Aquest ransomware roba dades i les xifra, com fan totes les variants, però en aquest cas els ciberdelinqüents practiquen la doble extorsió, també amenacen amb anar fent públiques les dades si el rescat no es paga. Per tant, combina segrest de programari i violació de dades sensibles.

Doble extorsió: Els ciberdelinqüents, abans de xifrar la base de dades d’una víctima, n’extreuen informació confidencial i amenacen amb publicar-la si no paga un rescat. Posteriorment, per demostrar que l’amenaça és seriosa, filtren una petita part de la informació sensible, i incrementen així el nivell d’intimidació.


Més informació sobre el ‘ransomware’