Segundo a Kaspersky, Brasil lidera entre os países com maior número de servidores RDP roubados, à frente de Rússia, EUA e Reino Unido
Credenciais roubadas ou fracas de desktop remotos costumam ser usadas para infectar sistemas de pontos de venda com malware, mas recentemente elas também se tornaram um método comum de distribuição para ransomware.
Em março, pesquisadores de segurança descobriram um programa de ransomware chamado Surprise que estava sendo instalado por meio de credenciais roubadas do TeamViewer, uma ferramenta popular para administração remota. Mas a tendência começou muito antes disso, com algumas variações de ransomware sendo distribuídas por meio de ataques de força bruta para descoberta de senhas contra servidores Remote Desktop Protocol (RDP) desde 2015.
Apesar desse método de infecção ter sido inicialmente usado por programas de ransomware relativamente obscuros, recentemente ele foi adotado por um número cada vez maior de cibercriminosos, incluindo aqueles por trás de programas de ransomware com grande alcance como Crysis.
Pesquisadores de segurança da Kaspersky Lab descobriram um novo programa de ransomware que afetou hospitais e outras organizações no Brasil. Eles nomearam a ameaça de Trojan-Ransom.Win32.Xpan e afirmam que foi criada pela gangue TeamXRat (que também se denomina CorporacaoRat), que antes era especializada em trojans de acesso remoto (RATs).
De acordo com a empresa de antivírus, os criminosos da TeamXRat realizaram ataques de força bruta contra servidores RDP conectados à Internet e então instalaram manualmente o ransomware nos servidores hackeados.
“Conectar servidores de desktops remotos diretamente à Internet não é recomendado e realizar ataques de força bruta contra eles não é nada novo; mas sem os controles apropriados para evitar ou pelo menos detectar e responder às máquinas comprometidas, os ataques de força bruta contra RDP ainda são relevantes e algo que os cibercriminosos gostam de fazer”, afirmam os pesquisadores da Kaspersky. “Uma vez que o servidor é comprometido, o invasor desabilita manualmente o app de antivírus instalado no servidor e realiza a infecção em si.”
O Brasil possui mais servidores RDP comprometidos sendo vendidos no mercado negro do que qualquer outro país, sendo seguido por Rússia, Espanha, Reino Unido e EUA.
Felizmente, no caso do Xpan, os autores do ransomware cometeram um erro na sua implementação da criptografia que permitiu à Kaspersky desenvolver um método para recuperar os arquivos afetados sem precisar pagar o “resgate”. Não há uma ferramenta de criptografia que pode ser baixada, mas as vítimas do Xpan são aconselhadas a entrarem em contato com o departamento de suporte da empresa de segurança e pedir por ajuda.
Erros na implementação de criptografia não são incomuns em programas de ransomware, especialmente nos mais novos. No entanto, os desenvolvedores de ransomware costumam ser rápidos em corrigir as falhas e, mais cedo ou mais tarde, o programa acaba usando uma criptografia forte e inquebrável.
Fonte: ComputerWorld