Nuestro Blog

Secuestro ordenadores y servidores


23 marzo, 2013 0 Comentarios virus

ramsonware-secuestro-ordenador-coruñaDurante la semana pasada hemos estado muy atareados con un grave problema acaecido con un cliente y al que nunca nos habíamos enfrentado, el secuestro del servidor de su empresa.

Se trataba de un cliente que no dispone de contrato de mantenimiento con nosotros por lo que sus sistemas no estaban siendo monitorizados. Desde aproximadamente octubre del año 2012, veníamos observando en los servidores de  los clientes con mantenimiento contratado continuos intentos de acceso a través del puerto 3389. Estos intentos a través de Rdp se instensificaban con el tiempo, llegando a darse casos de   hasta una veintena de peticiones cada minuto. El ataque consistía en utilizar la fuerza bruta buscando nombres de usuário y contraseñas débiles. Una vez detectado se corrigieron las vulnerabilidades y se acabaron los problemas.

Se trata de un nuevo ramsonware llamado “Anti-child Porn Spam Protection” que afecta tanto a servidores Micro1soft Windows 2003 como a cualquier otra máquina en Windows con la funcionalidad de escritorio remoto activado, es decir cualquier Windows XP profesional o Windows 7 u 8 de Profesional hacia arriba.  

La forma de operar es la siguiente:

  • Lanzan un petición de acceso a través del puerto 3389 y si reciben respuesta utilizan la fuerza bruta para averiguar la contraseña y acceder al equipo y a sus contenidos.
  • Una vez en nuestro sistema el atacante realiza un escalado de privilegios, deteniendo el antivirus y las distintas herramientas de seguridad.
  • Luego comienza la infección del sistema, comienza a cifrar los datos, elimina los backups y los distintos archivos contenedores de información privada. Comprime los datos en formato .rar aplicando una contraseña con clave AES de 256 bits dejando los archivos con el siguiente formato:
  • Borra los archivos originales de manera segura utilizando la herramienta SDelete de Sysinternals para hacerlos totalmente inaccesibles.
  • El servidor o el ordenador resulta a partir de ese momento inaccesible, apareciendo sólo la siguiente pantalla de extorsión:

ransomware-virus-policia-coruña

 

Se trata de una variante del famoso Virus de la Policía, eso si, mucho más crítico y maligno, por lo que casi cualquier antivirus lo detecta y elimina, pero a día de hoy no hay forma de desencriptar la información.

Por todo ello debemos de prevenir y para ello es importante tener en cuenta las siguientes recomendaciones:

  • No utilizar el puerto estandard de escritorio remoto, el 3389.
  • Comprobación de las cuentas de acceso al sistema, eliminando o deshabilitando aquellas que no sean necesarias o que sean poco seguras como la de Aministrador o Invitado. Utilizar cuentas que definan a los usuários y que sean seguras, huyendo de las generalidades.
  • Contraseñas de acceso robustas. El virus lo intenta con todas las comunes, “password”, “1234”… Las contraseñas deben de tener entre ocho y doce caracteres, contener números y letras, mayúsculas y signos para así dificultar los ataques por fuerza bruta.
  • Aplicar los parches de seguridad del sistema operativo.
  • Securizar los accesos remotos mediante VPNs con al menos dos factores de autentificación, no sólo contraseña.
  • Hacer copias de seguridad remotas, en la nube ya que las copias en dispositivos locales están comprometidas al ser también encriptadas y borradas.
  • Asegurarse de que los equipos remotos desde los que accedemos son seguros, con las herramientas y parches de seguridad al día. NUNCA dejar un icono de acceso directo a escritorio remoto con la contraseña almacenada.
  • Implementar políticas de bloqueo de cuentas en el servidor RDP al detectarse múltiples intentos de acceso fallidos.

En el caso de nuestro cliente, si bien no disponía de contrato de mantenimiento, si nos había contratado el pack de copias de seguridad remotas en nuestros servidores. Este fué el elemento que hizo que al día siguiente pudiese estar trabajando sin mayor dificultad, eso si ahora con medidas de seguridad avanzadas y con contrato de mantenimiento.

Si nos vemos infectados por este virus es importante denunciarlo a la Brigada de Investigación Tecnológica (BIT), bien a través de la propia web, del número 902 102 112 o en cualquier comisaría.

No dudes además en ponerte en contacto con Intecnor para ayudarte.

Deja un comentario

Eres humano o un robot ? Responde a la pregunta * Time limit is exhausted. Please reload CAPTCHA.

Back to top

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información ACEPTAR

Aviso de cookies
Share This