Expertos en seguridad informática han descubierto que un grupo de piratas informáticos de Irán previamente desconocido está utilizando el exploit CVE-2017-0213 para atacar servidores RDP e implantar muestras de ransomware Dharma.. Esta es una de las familias de virus más populares y a diario se crean numerosas cepas.. Estos ataques representan los intentos continuos de varios grupos de piratas informáticos para utilizar continuamente este virus en sus campañas..
CVE-2017-0213 Exploit utilizado para entregar Dharma Ransomware a servidores RDP
Los investigadores de seguridad han descubierto que los grupos de piratería que se originan en Irán están utilizando un exploit remoto para atacar servidores RDP vulnerables. Estos son servicios que se utilizan para establecer una conexión remota; son ampliamente utilizados por el equipo de soporte y los trabajadores que inician sesión en las redes de la empresa.. El aviso se rastrea en CVE-2017-0213 que en sí mismo es descrito por Microsoft como un problema en la función COM de Windows. Las versiones del sistema operativo sin parches permiten a los piratas informáticos ejecutar código arbitrario con privilegios elevados.
Los piratas informáticos se han centrado en ofrecer diferentes cepas de ransomware Dharma, sus acciones cooperativas han dado como resultado la detección de múltiples incidentes de seguridad en todo el mundo. La investigación sobre esto ha revelado que los colectivos son originarios de Irán.. Los grupos de piratería han creado diferentes muestras y ejecutarán la secuencia de comportamiento detallada.
Las muestras de ransomware Dharma se pueden configurar tanto para editar la configuración del sistema, instalar otras amenazas y procesar los datos de los usuarios. Finalmente, crearán notas de rescate de texto y agregarán una extensión pregrabada a los datos comprometidos.. A través de esta nota, los piratas informáticos pueden chantajear a las víctimas para que paguen activos en criptomonedas..
Esta campaña de ataque presenta demandas entre 1 y 5 Bitcoin, que es bajo en comparación con otras campañas de ataque similares.. La investigación muestra que el método de ataque probable es un ataque de red automatizado que revelará si hay hosts vulnerables en las redes seleccionadas. Se programará un programa de fuerza bruta para entregar automáticamente el ransomware Dharma si se realiza una intrusión.
Este ataque de piratería revela una vez más que es importante aplique siempre los últimos parches de seguridad, especialmente los relacionados con el sistema operativo.
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: