Microsoft advierte sobre ataques con el ransomware PonyFinal


cráneo de ransomware

El equipo de seguridad de Microsoft ha emitido hoy un aviso advirtiendo a las organizaciones de todo el mundo que implementen protecciones contra una nueva variedad de ransomware que ha estado en libertad durante los últimos dos meses.

«PonyFinal es un ransomware basado en Java que se implementa en ataques de ransomware operados por humanos» Microsoft dijo en una serie de tweets publicado hoy.

El ransomware operado por humanos es una subsección de la categoría de ransomware. En los ataques de ransomware operados por humanos, los piratas informáticos violan las redes corporativas e implementan el ransomware ellos mismos.

Esto se opone a los ataques de ransomware clásicos que se han visto en el pasado, como el ransomware distribuido a través de correo electrónico no deseado o kits de explotación, donde el proceso de infección se basa en engañar a los usuarios para que inicien la carga útil.

Cómo funciona PonyFinal

Microsoft dice que ha estado rastreando incidentes donde se implementó el ransomware PonyFinal.

El punto de intrusión suele ser una cuenta en el servidor de administración de sistemas de una empresa, que la pandilla PonyFinal infringe mediante ataques de fuerza bruta que adivinan contraseñas débiles.

Una vez dentro, Microsoft dice que la pandilla PonyFinal implementa un script de Visible Standard que ejecuta un shell inverso de PowerShell para volcar y robar datos locales. Además, los operadores de ransomware también implementan «un sistema de manipulador remoto para evitar el registro de eventos».

Una vez que la pandilla PonyFinal tiene una sólida comprensión de la purple del objetivo, se extienden a otros sistemas locales y despliegan el ransomware PonyFinal true.

En la mayoría de los casos, los atacantes se dirigen a estaciones de trabajo donde está instalado Java Runtime Natural environment (JRE), ya que PonyFinal está escrito en Java. Pero Microsoft dice que también ha visto casos en los que la pandilla instaló JRE en los sistemas antes de ejecutar el ransomware.

ponyfinal-scheme.jpg "src =" https://zdnet1.cbsistatic.com/hub/i/2020/05/27/f6f08c88-8fd9-4a08-b301-078094e44806/ponyfinal-scheme.jpg

imagen: Microsoft

Microsoft dice que los archivos cifrados con el ransomware PonyFinal generalmente tienen una extensión de archivo «.enc» adicional al remaining de cada archivo cifrado.

La nota de rescate generalmente se llama README_data files.txt, y generalmente es un archivo de texto basic que contiene instrucciones de pago de rescate, que se detalla a continuación por cortesía de Andrew Ivanov (los indicadores de compromiso de PonyFinal también están disponibles en el website de Ivanov)

ponyfinal-ransom.png "src =" https://zdnet1.cbsistatic.com/hub/i/2020/05/27/f618be5a-00f7-425a-b66a-440567809b78/ponyfinal-ransom.png

Imagen: Andrew Ivanov

El esquema de cifrado del ransomware se considera seguro y no se conoce una forma o descifrador gratuito que pueda recuperar archivos cifrados, al menos, al momento de la escritura.

Víctimas conocidas en India, Irán y Estados Unidos.

De acuerdo a Michael Gillespie y MalwareHunterTeam, dos de las personas detrás del portal de identificación de ransomware ID-Ransomware, el ransomware PonyFinal surgió por primera vez a principios de este año y ha tenido muy pocas víctimas, lo que confirma su uso en ataques dirigidos contra objetivos cuidadosamente seleccionados.

Gillespie, un investigador de malware en Emsisoft, dice que todos los usuarios que subieron muestras en el sitio website de ID-Ransomware para identificación se han ubicado en India, Irán y los EE. UU., En orden de prevalencia.

ponyfinal-idr.png "src =" https://zdnet3.cbsistatic.com/hub/i/2020/05/27/351cf281-2b31-4d17-8ed3-9daaa27904b9/ponyfinal-idr.png

PonyFinal carga en el portal ID-Ransomware

Imagen: Michael Gillespie, MalwareHunterTeam

Según Microsoft, PonyFinal es una de las varias cepas de ransomware operadas por humanos que tienen repetidamente dirigido al sector de la salud durante la pandemia de coronavirus (COVID-19).

La lista también incluye RobbinHood, NetWalker, Maze, REvil (Sodinokibi), Paradise, RagnarLocker, MedusaLocker y LockBit.





Enlace a la noticia authentic