NOTICIAS Y CONSEJOS DE ESET SOBRE RANSOMWARE ANTICHILD, ya comentado en nuestras noticias recientes

Dicho Ransomware afecta a  sistemas Windows 2003 Server e intrusiona por el port 3389 (Terminal Server) to y tambien  posible utilidad para encontrar el password de los ficheros codificados.

Hace tres meses comentábamos un nuevo tipo de ransomware orientado a servidores Windows 2003 Server. Durante esta semana, los colegas de asistencia tecnica técnico han estado atendiendo varias consultas de usuarios que han sido afectados por una nueva versión de este malware, por lo que creemos de interés recordar su funcionamiento y cómo evitar verse afectado.

Este ransomware no se conforma solamente con bloquear el acceso al sistema, sino que, además, cifra todos los archivos almacenados en el servidor, incluyendo las copias de seguridad. Esto es especialmente grave en el caso de aquellas empresas que almacenan todos sus datos en un único servidor y este se ve afectado por este código malicioso.

En la mayoría de los casos que hemos atendido hasta el momento, los ordenadores afectados han sido servidores con sistema operativo Microsoft Windows Server 2003 con el Terminal Server habilitado. Esto se debe a que los atacantes realizan un ataque dirigido contra el puerto de escucha de Terminal Server (3389) aprovechando una vulnerabilidad conocida.

A continuación, los atacantes consiguen romper las contraseñas de alguno de los usuarios con permisos de administrador utilizando técnicas de fuerza bruta. Una vez se ha conseguido acceso a la máquina, se cifran todos los archivos que puedan contener datos importantes y los almacena en un fichero .rar autoextraible con password, estableciendo una clave AES de 256 bits.

Una vez cifrados aquellos ficheros con datos, muestra en pantalla una ventana avisando de este hecho y solicitando el pago de una cantidad de dinero de la que se informará por correo, aunque ya avisa de que no será precisamente barato. Por desgracia, hay muchas empresas que dependen de la información almacenada en el servidor comprometido y no serán pocos los que cedan ante este chantaje sin saber que esto les marca como objetivos prioritarios ante futuros chantajes similares.

Para evitar futuros casos de infección por este ransomware, desde el departamento técnico de ESET aconsejan realizar las siguientes acciones:

•Cambiar el puerto por defecto que utiliza Terminal Server (3389) por otro que no esté en uso.
•Aplicar los parches de Microsoft disponibles para servidores Windows 2003 y superiores, especialmente, los que afecten al Terminal Server.
•Comprobar las diferentes cuentas de acceso al sistema y eliminar o deshabilitar aquellas que no sean necesarias, sobre todo las que tengan acceso al Terminal Server.
•Cambiar las contraseñas de acceso. Es fundamental utilizar contraseñas robustas (es aconsejable utilizar números, mayúsculas, símbolos y además una longitud de 12 caracteres como mínimo) para, al menos, dificultar lo máximo posible que el ataque de fuerza bruta rompa nuestra seguridad.
•Disponer como mínimo de dos copias de seguridad de nuestros datos y que estas se encuentren en lugares distintos.
•Proteger con contraseña el acceso a la configuración de las aplicacioens de seguridad tanto en equipos clientes como en servidores.

De esta forma dificultaremos al máximo las posibilidades de ver comprometido algo tan crítico como nuestros servidores y perder el acceso a la valiosa información que en ellos solemos almacenar. Y aun en el caso de que nos veamos afectados por este tipo de malware, siempre podremos restaurar los datos desde alguna de las copias de seguridad realizadas.

Este tipo de incidentes nos debe hacer recordar la importancia de seguir una serie de procedimientos y medidas de seguridad a la hora de proteger tanto estaciones de trabajo como dispositivos móviles o, como en este caso, servidores. Solo aplicando este tipo de medidas evitaremos ser una presa fácil de los ciberdelincuentes.

Nota: Pueden utilizar programas de copias de seguridad como tomáticas de datos, bases de datos, correos e incluso máquinas virtuales, estas copias se puede ubicar tanto en local como en la nube.