Los ciberdelincuentes detrás del ransomware Venus están hackeando los servicios de escritorio remoto (o RDP, Remote Desktop Protocol) expuestos para cifrar los dispositivos Windows.
Según los datos de los que se dispone, este ransomware empezó a operar a mediados del pasado mes de agosto y, desde entonces, las víctimas no han dejado de contarse en todo el mundo.
Sin embargo, los expertos detectaron otro ransomware que utilizaba la misma extensión de archivo de cifrado desde 2021, pero aún no se sabe con exactitud si hay algún tipo de relación entre ellos.
El analista de seguridad linuxct apuntaba recientemente que los delincuentes han tenido acceso a las redes corporativas de las víctimas a través del protocolo de escritorio remoto de Windows.
No obstante, algunas víctimas también han señalado que este protocolo de escritorio remoto se utilizaba para el acceso inicial a la red, incluso cuando se usaba un número de puerto no estándar para el servicio.
¿Cómo actúa el ransomware Venus?
Cuando se ejecuta, Venus intentará finalizar 39 procesos asociados con servidores y bases de datos de aplicaciones de Microsoft Office.
El ransomware también eliminará los registros de eventos, los volúmenes de instantáneas y deshabilitará la prevención de ejecución de datos mediante el siguiente comando:
wbadmin delete catalog -quiet && vssadmin.exe delete shadows /all /quiet && bcdedit.exe /set {current} nx AlwaysOff && wmic SHADOWCOPY DELETE
Al cifrar archivos, el ransomware añade la extensión ‘.venus’. Por ejemplo, un archivo llamado test.jpg se cifraría y cambiaría de nombre a ‘test.jpg.venus’.
En cada archivo cifrado, el ransomware añade un marcador de archivo ‘goodgamer’ y otra información al final del archivo.
En el siguiente paso, Venus crea una nota de rescate HTA en la carpeta %Temp% que se mostrará automáticamente cuando el ransomware termine de cifrar el dispositivo.
Cabe señalar que este ransomware se llama a sí mismo «Venus» y comparte una dirección TOX y una dirección de correo electrónico que se pueden usar para contactar al atacante para negociar el pago de un rescate. Al final de la nota de rescate hay un blob codificado en base64, que probablemente sea la clave de descifrado encriptada.
En este momento, Venus sigue muy activo. Dado que el ransomware parece tener como objetivo los servicios de escritorio remoto expuestos públicamente, incluso aquellos que se ejecutan en puertos TCP no estándar, es vital proteger estos servicios con un firewall y solo accesibles a través de una VPN.
También es clave mantener actualizados el sistema operativo y los distintos software, aplicar los parches de seguridad disponibles y apostar por contraseñas robustas, con mínimo 12 caracteres que incluyan mayúsculas, minúsculas, números y símbolos.