RDP en el top como distribución del Ransomware


Remote Desktop Protocol (RDP) es un vector de distribución cada vez más popular entre los operadores de ransomware, tan popular de hecho que parece haber superado al correo electrónico, según las últimas estadísticas de Webroot.

Los ataques RDP se han utilizado para la distribución de malware durante varios años, pero se han convertido en un vector de distribución de ransomware sólo recientemente.

El año pasado, se reportaron numerosos ataques con las credenciales de RDP forzadas para la distribución de ransomware, incluyendo las de Bucbi , Apocalypse y Shade . En mayo de 2016, Fox-IT sugirió que RDP se estaba convirtiendo en un nuevo vector de infección en ataques de ransomware, y los investigadores de Kaspersky Lab en septiembre asociaron el método con la distribución de Xpan en Brasil .

En febrero de 2017, Trend Micro reveló que el ransomware Crysis estaba siendo distribuido a través de ataques RDP también. Mientras que el método había sido empleado desde septiembre del 2016, el número de estos ataques se duplicó en enero de 2017 en comparación con los meses anteriores, señaló la firma de seguridad.

Un gráfico publicado por Webroot esta semana muestra que RDP está más generalizado que el correo electrónico cuando se trata de vectores de rescate: 66% frente a 33%. Históricamente, el ransomware ha sido distribuido a través de otros métodos, incluyendo kits exploit y malvertising, pero el tráfico asociado con estos vectores no parece ser tan popular.

"En los últimos meses, los datos que hemos visto subrayan la importancia de que los administradores del sistema protejan el RDP. El RDP no protegido deja esencialmente la puerta abierta a los ciberdelincuentes. Y puesto que los delincuentes modernos pueden cifrar sus datos, en lugar de tener que pasar por el problema de robar, no debemos hacer que sea más fácil para ellos conseguir lo que quieran ", afirmó la empresa de seguridad.

Cuando se trata de familias ransomware que utilizan RDP, Crysis es el más frecuente. En este momento, la variante que se distribuye anexa la extensión " .wallet " a los archivos cifrados, pero se han observado hasta la fecha una media docena de otras variantes.

Otras piezas bien conocidas de ransomware que los usuarios deben ser conscientes incluyen a Locky , Cerber , CryptoMix o Samas , que surgió hace más de un año y siguen causando estragos. Sin embargo, las familias más nuevas del malware son también dignas de tomar en la consideración, como Spora , que fue primero detallado solamente este año.