-
Hackers usan RDP para minar sin pedir rescate.
-
Bloquean PCs y extraen Monero, Zcash y mรกs.
El procedimiento usual del ransomware es secuestrar el terminal seleccionado mediante el cifrado de archivos, para luego pedir un rescate en bitcoins a la vรญctima. Pero ya no es el รบnico en esta oscura industria cibernรฉtica, pues segรบn ha descubierto la compaรฑรญa de ciberseguridad Panda, los hackers ya han encontrado otra forma de secuestrar tu computador para conseguir algunas criptomonedas. Y en esta ocasiรณn no han dejado margen para pagar (o no) un rescate.
Se trata del Remote Desktop Protocol (RDP), que en realidad ni siquiera es un malware. De hecho, es una funciรณn del propietario de una PC creada por Microsoft, donde, bรกsicamente, pueden gestionarse los equipos a distancia si se tienen las credenciales. O, en el caso de los hackers, si se toman el tiempo suficiente para utilizar programas de fuerza bruta, que โadivinanโ las contraseรฑas utilizando miles de combinaciones posibles e intentando acceder repetidamente hasta lograrlo. Panda describe que en el servidor del estudio se detectaron unos 900 intentos de acceso al dรญa.
Pues bien, en esta ocasiรณn los objetivos son los usuarios que utilicen el RDP para gestionar sus computadores. Y una vez que los hackers logran tener acceso, simplemente bloquean el escritorio con una aplicaciรณn que tambiรฉn impide que se apague, mientras ellos se ocupan de instalar las herramientas necesarias para la minerรญa de criptomonedas que utilicen los algoritmos CryptoNight y Equihash, los cuales no requieren de hardware extra para minarse, como sรญ podrรญa necesitarlo Bitcoin. Asรญ que en realidad lo que buscan secuestrando la PC no es un rescate, sino mantenerla bloqueada todo el tiempo posible mientras ellos la utilizan para minar activos como Monero, Aeon, Zcash y Steem.
El fichero comprimido que logran copiar en el terminal mediante el RDP lleva por nombre BySH01.zip, y este contiene sรณlo programas que, en circunstancias normales, son รบtiles para quien los requiera: una herramienta para descomprimir, otra para gestionar la conexiรณn RDP, el software para la minerรญa con CryptoNight y el Desktop Lock Express 2, un programa que sirve para evitar accesos no deseados al ordenador mediante el bloqueo con contraseรฑa del teclado, el mouse y la pantalla, mientras lo mantiene activo, y que ni siquiera requiere de instalaciรณn.
Al parecer se han detectado ataques en varios paรญses que no se especifican, pero la interfaz original de la aplicaciรณn para la minerรญa sin duda es rusa. En ella se pueden notar de forma sencilla todas las configuraciones requeridas, incluyendo la cartera a la que van a enviarse las criptomonedas minadas.
Para evitar este tipo de ataques, desde Panda dan dos recomendaciones: cambiar el puerto estรกndar de la conexiรณn RDP, que es el que busca la gran mayorรญa de los hackers para conectarse; y monitorizar los intentos fallidos de conexiรณn, que pueden visualizarse fรกcilmente. En este caso, como en realidad no se trata de un malware, el antivirus puede servirnos de bastante poco, asรญ que conviene prestar mucha atenciรณn cuando sea necesario utilizar este tipo de conexiones.
Imagen destacada por rifat_ziyatdinov / stock.adobe.com
