Madrid · Barcelona · Bilbao · Valencia · A Coruña · Málaga · Sevilla · Zaragoza · Alicante · Santander · Pamplona
Madrid · Barcelona · Bilbao · Valencia · A Coruña · Málaga · Sevilla · Zaragoza · Alicante · Santander · Pamplona

Ataques a servidores españoles a los que acceden a través de Terminal Server

Home > Actualidad > Ataques a servidores españoles a los que acceden a través de Terminal Server
Comparte:

Desde el pasado viernes día 9 estamos detectando numerosos ataques a servidores españoles a los que acceden a través de Terminal Server.

El atacante accede a los sistemas; realiza un escalado de privilegios; detiene el antivirus y a partir de ahí infecta el sistema, se borran backups y ciertos ficheros y se cifran los datos del servidor.
A partir de ese momento sale una pantalla que no deja acceder al servidor pidiendo dinero a cambio de la clave para descifrar los ficheros.

Sophos lo detecta al igual que supongo que la mayoría de fabricantes-, pero como en realidad es un ataque de hacking durante el cual se detiene el antivirus, el resultado es que la protección antimalware no es eficaz ante este ataque.

Santiago-Crepo-Metafrase

La única forma de protegerse es instalar todos los parches de seguridad de Microsoft, especialmente en los servidores Windows 2003 Server, revisar las cuentas de acceso a los sistemas deshabilitando aquellas que no sean necesarias y comprobar que las contraseñas sean fuertes.

Aquí dejamos un video en el que se explica cómo generar contraseñas seguras: http://youtu.be/cp0kvi43gmk
Recomendamos también que los accesos se realicen de forma segura a través de un firewall siempre que sea posible y una VPN. Si no se dispone de dicha tecnología, recomendamos, como mínimo cambiar el puerto en el que escucha Terminal Server (Remote Desktop)
Hay al menos 4 variantes conocidas, pero este ransomware se conoce como  Anti-Child Porn Spam Protection .

El cifrado de los archivos se realiza con una clave aleatorio de 50 caracteres, que se genera cuando el atacante instala el malware; Dicha clave después se combina con el UID del disco duro de la máquina y después de borra de forma segura (con sDelete) para que no se pueda recuperar. Eso sí: tras ser enviada a la máquina del atacante.

El malware comienza a cifrar los datos del servidor en archivos RAR autoextraíbles, cifrados mediante AES-256 por lo que es imposible descifrar los archivos tras perder la clave de cifrado.
En el salvapantallas de bloqueo indicará una dirección de email, en la que (si contactáis) os pedirán un rescate económico si queréis recuperar los datos. Recomendamos NO PAGAR y tirar de backup puesto que cuando ven que pagas, entonces deciden que quieren más dinero, y piden más. y más.

En caso de sufrir un ataque de este tipo, recomendamos denunciar el hecho (antes de reiniciar el servidor) a las fuerzas de Seguridad. En concreto a través de:
Fuente:  Santiago Crespo  Metafrase (test.metafrase.es)
onretrieval.com

Deja un comentario

Líderes en el Sector

Archives

Síguenos en Redes Sociales

Testimoniales

Al continuar utilizando nuestro sitio web, usted acepta el uso de cookies. Más información

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra POLÍTICA DE COOKIES, pinche el enlace para mayor información. Además puede consultar nuestro AVISO LEGAL y nuestra página de POLÍTICA DE PRIVACIDAD

Cerrar