El ransomware Bucbi reaparece después de dos años



Los criminales utilizan fuerza bruta para difundir Bucbi en servidores RDP



Un grupo del cibercrimen está dentro del corazón de muchas infecciones ransomware no estándar, que parecen ser llevado a cabo a través de una versión re-cargada del ransomware Bucbi que no ha sido visto en uso a una escala tan masiva desde el 2014, año en que fue descubierto.


Los investigadores de seguridad de Palo Alto Network s dicen que estas infecciones ransomware son diferentes porque no se basan en tácticas de ingeniería social para engañar a las víctimas para que instalen el ransomware, sino que los miembros del grupo lo están haciendo ellos mismos, tras el pirateo de redes empresariales vulnerables.

Estos ataques tienen una conexión directa a una serie de incidentes en los que los investigadores de Fox-IT reportaron la semana pasada cuando dijeron que han visto grupos de delincuencia cibernética utilizar ataques de fuerza bruta contra las redes corporativas que ejecutan los servidores disponibles de Internet RDP (Protocolo de escritorio remoto). Palo Alto informó de quién está detrás de estos ataques, por qué lo hace y cómo lo están haciendo.


El grupo afirma ser ucraniano, las pistas apuntan a que son de origen ruso

Según el equipo de Palo Alto, el origen exacto de los piratas informáticos no está claro. La compañía dice que el grupo se identifica como "Ukrainian Right Sector ", pero las pruebas en los códigos del ransomware apuntan a ser de origen ruso, sobre todo por el uso del algoritmo GOST, desarrollado por el anterior gobierno de la URSS y que sólo se hizo público en 1994.

A pesar de los indicios del código, Ukrainian Right Sector es una organización en el mundo real, un partido político nacionalista extremista de Ucrania con operaciones paramilitares que se oponen a Rusia.

En cuanto al ransomware Bucbi, los expertos en seguridad afirman que esta versión ha sido muy modificada. Las tres principales diferencias son que el ransomware ahora funciona sin necesidad de conectarse a un servidor C & C en línea, utiliza una rutina de instalación diferente, y también emplea una nota de rescate diferente.

Las similitudes entre el 2014 y las versiones del 2016 incluyen la presencia de muchas cadenas de depuración similares, nombres de archivos similares, y ambas utilizan la función de cifrado en bloques GOST.



Los ataques oportunista, no son bien planificados


Los investigadores de Palo Alto afirmaron que la instalación de Bucbi es lo que ha atraído su atención de esta amenaza específica. Bucbi es único porque se basa en vulnerar las redes corporativas a través de puertos abiertos RDP por medio de fuerza bruta.

La compañía sospecha que los ladrones han utilizado una herramienta llamada "RDP Brute (codificada como z668)," que se muestra en la imagen a continuación. Pero este no era el detalle más interesante.

"Muchos nombres de usuario comunes fueron utilizados en los intentos de acceso en este ataque de fuerza bruta, incluyendo números de puntos de venta (POS) con nombres de usuarios específicos", según observaron los investigadores de Palo Alto. "Es probable que este ataque comenzó originalmente con ataques de búsqueda de dispositivos de punto de venta, y después de un cuidadoso plan, cambió su táctica una vez que descubrieron que el dispositivo comprometido no procesaba las transacciones financieras."

Algunos de los nombres de usuario específicos de los sistemas de punto de venta incluyen cadenas como BPOS, FuturePoS, KahalaPoS, POS, SALES, Staff, and HelpAssistant.


Fuente: Softpedia