Microsoft advierte sobre los peligros de nuevos ataques con el ransomware PonyFinal

, - PonyFinal, -. PonyFinal, Java , .  .

El ransomware PonyFinal es particularmente efectivo debido al hecho de que los piratas informáticos detrás de los ataques estudian preliminarmente la actividad de la futura víctima y crean un plan que maximizará al máximo sus beneficios de un ataque exitoso. Es decir, los atacantes entran en las redes corporativas y colocan manualmente su software allí, en lugar de automatizar el proceso de distribución de un encriptador, como suele ser el caso.

En una serie de tuits , los guardias de seguridad de Microsoft enfatizaron que es más importante que las organizaciones presten atención a cómo se lleva a cabo el ataque, y no solo para estudiar solo el código malicioso.

Y eso definitivamente tiene sentido. Al cubrir los ataques cibernéticos, los medios para los ataques de ransomware se centran en las compañías que bloquean sus datos cifrados y en el dilema de si deben pagar el rescate o no.



Se recomienda a los departamentos de seguridad de TI que presten más atención a cómo comienza el ataque y qué métodos utiliza el grupo de hackers para entregar el código de cifrado a los sistemas informáticos de la compañía. Otro escenario es posible, cuando el propio personal de seguridad provoca un ataque en el primer nivel de protección, estudiando el algoritmo de los atacantes y eliminando cuellos de botella en el sistema de protección, si corresponde, en función de los datos recibidos. Con este enfoque, una empresa nunca tendrá que enfrentar un escenario de pesadilla para restaurar sus datos cifrados.

Como descubrió el personal de seguridad de TI de Microsoft, en la mayoría de los casos, el punto de invasión es la cuenta en el servidor de administración del sistema. Los operadores de PonyFinal invaden allí usando la fuerza bruta, encontrando cuentas con contraseñas débiles. Después de obtener acceso al servidor, el atacante activa el script de Visual Basic, que ejecuta un software para recopilar y robar datos.

Los ataques PonyFinal van más o menos así.

 

Además, un ataque puede usar credenciales para RDP, vulnerabilidades en sistemas de Internet y configuraciones de aplicación incorrectas. En algunos casos, los atacantes desplegaron encubiertamente el Java Runtime Environment (JRE) que PonyFinal necesitaba. Pero ha habido casos en que los piratas informáticos utilizaron el JRE ya instalado en la computadora de la víctima para iniciar el ransomware.

Los archivos cifrados de PonyFinal tienen la extensión .enc. Además, el esquema de cifrado tiene una alta confiabilidad, aunque no hay formas y herramientas gratuitas para descifrar los datos afectados. Por lo tanto, Cloud4Y advierte: no se convierta en la próxima víctima. Tome medidas dentro de su empresa para reducir la probabilidad de un ataque exitoso de un nuevo ransomware.

¿Qué más se puede leer en el Cloud4Y el blog

→ ¿Cuál es la geometría del universo?
→ Huevos de Pascua en mapas topográficos de Suiza
→ Una historia simplificada y muy breve del desarrollo de “nubes”
→ Cómo se “rompió” el banco
→ ¿Necesita nubes en el espacio?

Suscríbase a nuestro Telegrama-canal, para no perderse otro artículo. Escribimos no más de dos veces por semana y solo por negocios.