ACTORES DE AMENAZA SE ENCUENTRAN DISTRIBUYENDO EL RANSOMWARE PHOBOS MEDIANTE RDP

22/02/2024

Descripción

El equipo del Csirt Financiero observó que los ciberdelincuentes recientemente están propagando el ransomware llamado Phobos a través de servicios RDP (conexiones de escritorio remoto) con seguridad débil, el cual es una variante de CrySis.

Cuando los actores de amenaza logran ingresar al equipo mediante RDP, el ransomware Phobos se copia en la ruta “%LocalAppData%” para generar persistencia, de este modo lograr que este se ejecute incluso después de reiniciar el equipo, posteriormente Phobos interrumpe el funcionamiento de clientes de correo electrónico y programas de bases de datos.

Vector de infección

Phobos se distribuye a través de servicios RDP (conexiones de escritorio remoto) con seguridad débil o mal configuradas.

Recomendaciones

Phobos puede ser mitigado o detectado en su infraestructura tecnológica aplicando las siguientes recomendaciones:

• Verificar cada uno de los indicadores de compromiso (IoC) adjuntos en el presente producto, los cuales pueden ser implementados en sus sistemas de seguridad perimetral; por lo anterior, el equipo del Csirt Financiero recomienda validar que no se interrumpa la disponibilidad de la operación y/o prestación de sus servicios (los hash md5, sha1 y sha256 son equivalentes).
• Usar contraseñas fuertes y únicas para las cuentas de RDP y habilitar la autenticación de dos factores (2FA) para las conexiones de RDP.
• Establecer contraseñas complejas para evitar ataques de fuerza bruta.
• Restringir el acceso de RDP solo a las direcciones IP autorizadas.

Leer noticia: https://asec.ahnlab.com/ko/58511/