Alertas de seguridad

Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.

Nuevo Ransomware Nemty podría expandirse por medio del protocolo RDP

  • Publicado: 01/09/2019
  • Importancia: Media

Recursos afectados

Nemty es un nuevo Ransomware que recibe su nombre a razón de la extensión generada al final de los archivos que han sido cifrados [.nemty], dentro del proceso de cifrado se eliminan las instantáneas (volume shadow copy) de los archivos con el fin de que el usuario no pueda recuperar la información a través de las versiones de datos creadas por Windows.
 
Las víctimas pueden acceder a una nota de rescate [NEMTY-DECRYPT.txt] generada por el Ransomware, en esta nota se da información del portal de pago (alojado en la red TOR, con el fin de mantener el anonimato) y el archivo de configuración necesario para completar la transacción. En las pruebas realizadas, se ha identificado que el valor por el rescate es de 0.09981 BTC, que al momento de la realización de la alerta se convierte en 1022,07 USD. 
 
A diferencia de otros eventos analizados por el CSIRT Financiero, Nemty no es enviado mediante spearphishing a los usuarios de una entidad, es por esto que se recomienda no habilitar el protocolo RDP a menos que sea estrictamente necesario.

Este es un breve resumen realizado por el equipo del CSIRT, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, sea miembro del CSIRT Financiero y contáctenos a través del correo [email protected].

Etiquetas