Το νέο Venus Ransomware, φαίνεται ότι έχει βάλει στο στόχαστρό του υπηρεσίες απομακρυσμένης επιφάνειας εργασίας (Remote Desktop) που εκτίθενται δημόσια, για να κρυπτογραφεί συσκευές Windows.
Δείτε επίσης: Magniber ransomware: Στοχεύει χρήστες Windows μέσω fake security updates
Το Venus Ransomware φέρεται να άρχισε τις επιχειρήσεις του στα μέσα Αυγούστου 2022 και έκτοτε έχει κρυπτογραφήσει θύματα σε όλο τον κόσμο. Ωστόσο, υπήρχε κι ένα άλλο ransomware που χρησιμοποιούσε την ίδια κρυπτογραφημένη επέκταση αρχείου από το 2021, αλλά δεν είναι σαφές εάν σχετίζονται.
Ο αναλυτής ασφαλείας Linuxct, δήλωσε ότι οι κακόβουλοι παράγοντες απέκτησαν πρόσβαση στο εταιρικό δίκτυο ενός θύματος, μέσω του πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας των Windows.
Ένα άλλο θύμα, ανέφερε επίσης ότι το RDP χρησιμοποιήθηκε για αρχική πρόσβαση στο δίκτυό του, παρόλο που χρησιμοποιούσε ένα μη τυπικό αριθμό θύρας για την υπηρεσία.
Όταν εκτελεστεί, το ransomware Venus επιδιώκει να τερματίσει τριάντα εννέα διεργασίες που σχετίζονται με διακομιστές βάσεων δεδομένων και εφαρμογές του Microsoft Office.
Το ransomware θα διαγράψει επίσης τα αρχεία καταγραφής συμβάντων, τα shadow copies και θα απενεργοποιήσει την πρόληψη εκτέλεσης δεδομένων χρησιμοποιώντας την εντολή:
wbadmin delete catalog -quiet && vssadmin.exe delete shadows /all /quiet && bcdedit.exe /set {current} nx AlwaysOff && wmic SHADOWCOPY DELETE
Δείτε ακόμα: Ψεύτικοι ιστότοποι για ενήλικες ωθούν data wiper μεταμφιεσμένους σε ransomware
Κατά την κρυπτογράφηση αρχείων, το ransomware θα προσαρτήσει την επέκταση .venus στα αρχεία. Για παράδειγμα, ένα αρχείο που ονομάζεται test.jpg θα κρυπτογραφηθεί και θα μετονομαστεί σε test.jpg. Venus.
Σε κάθε κρυπτογραφημένο αρχείο, το ransomware θα προσθέσει έναν δείκτη αρχείου «goodgamer» και άλλες πληροφορίες στο τέλος του αρχείου. Δεν είναι σαφές ποιες είναι αυτές οι πρόσθετες πληροφορίες αυτή τη στιγμή.
Το ransomware θα δημιουργήσει ακόμα ένα σημείωμα για λύτρα στο φάκελο %Temp%, που θα εμφανίζεται αυτόματα όταν το ransomware ολοκληρώσει την κρυπτογράφηση της συσκευής.
Το ransomware αυτοαποκαλείται “Venus” και μοιράζεται μια διεύθυνση TOX και μια διεύθυνση email που μπορούν να χρησιμοποιηθούν για να επικοινωνήσουν τα θύματα με τον εισβολέα και να διαπραγματευτούν την πληρωμή των λύτρων. Στο τέλος του σημειώματος, υπάρχει ένα κωδικοποιημένο base64 blob, που πιθανότατα είναι το κρυπτογραφημένο κλειδί αποκρυπτογράφησης.
Καθώς το ransomware φαίνεται να στοχεύει υπηρεσίες απομακρυσμένης επιφάνειας εργασίας που εκτίθενται δημόσια, ακόμη και εκείνες που εκτελούνται σε μη τυπικές θύρες TCP, είναι ζωτικής σημασίας να τοποθετηθούν αυτές οι υπηρεσίες πίσω από ένα τείχος προστασίας.
Δείτε επίσης: BlackByte ransomware: Χρησιμοποιεί την νέα τεχνική BYOVD
Ιδανικά, καμία υπηρεσία απομακρυσμένης επιφάνειας εργασίας δεν θα πρέπει να εκτίθεται δημόσια στο Διαδίκτυο και να είναι προσβάσιμη μόνο μέσω VPN.
.){kind=link}