Investigadores de Panda Security han analizado ataques de ransomware que han sido dirigidos a compañías europeas desde hace algunos meses, y los han relacionado con un mismo grupo.

Su modus operandi es simple: se abren paso con ataques de fuerza bruta en las compañías que tienen servidores de protocolo de escritorio remoto (RDP por sus siglas en inglés) y usan el acceso que les dan estos servidores para apuntar a computadoras específicas de la red de la compañía.

Lo que es interesante acerca de estos ataques es que los atacantes están implementando una herramienta de Ransomware con una interfaz gráfica fácil de usar para configurar cada ataque dirigido contra estas máquinas.

A través de ella, los atacantes pueden elegir cuál correo electrónico de contacto pueden darle a la víctima en el mensaje para pedir rescate, cuáles archivos y carpetas serán encriptadas, si el malware las eliminará automáticamente después del proceso de encriptación, etcétera.

Estos ataques son una indicación definitiva de que la tendencia del Rasomware-como-un-Servicio está ganando impulso y los criminales que ejercen el Ramsonware no necesitan ser extremadamente hábiles para llevar a cabo los ataques.

En estos casos específicos, asegurar los servidores RDP es crítico, y puede lograrse ya sea haciéndolos inaccesibles desde Internet, o con emplear contraseñas largas y difíciles de adivinar, junto con autenticación de dos factores para las cuentas de usuario con acceso remoto. Cifrar la conexión remota también es una buena idea.

Los servidores RPD vulnerables ofrecen a los atacantes un perfecto punto de entrada dentro de la red de la organización. Desde ahí, ellos pueden encontrar más información acerca de las maquinas en la red y tomar una decisión más informada acerca de cuál de ellas puede contener información y archivos que son cruciales para la compañía.

Este tipo de estrategia no es nueva pero, desafortunamente, aún es muy efectiva.