I maggiori attacchi informatici vengono eseguiti con i ransomware più noti, ma circolano anche numerose versioni “minori” che causano simili danni. Gli esperti del MalwareHunterTeam hanno scoperto una campagna recente che sfrutta i servizi di desktop remoto per distribuire il ransomware Venus sui sistemi Windows. Gli attacchi sono iniziati a metà agosto.
Venus colpisce i dispositivi Windows
Un ricercatore di sicurezza ha chiesto informazioni al MalwareHunterTeam, ricevendo conferma degli attacchi effettuati contro varie vittime in tutto il mondo. Ignoti cybercriminali hanno ottenuto l’accesso alle reti delle aziende attraverso il protocollo Remote Desktop di Windows. In base alla testimonianza di un utente, i malintenzionati riescono ad entrare nel sistema anche se viene usato un numero di porta non standard, probabilmente sfruttando una o più vulnerabilità zero-day.
Il ransomware Venus cerca di terminare 40 processi associati a database, browser e applicazioni Office. Successivamente cancella i log degli eventi e le copie shadow dei volumi per eliminare le tracce e impedire il ripristino tramite backup. Disattiva inoltre la funzionalità Data Execution Prevention.
Al termine dell’operazione di cifratura viene aggiunta ai file l’estensione .venus. Infine viene mostrata una pagina HTA con i riferimenti da contattare per ricevere il decryptor (a pagamento, ovviamente). Sono indicati indirizzi email, jabber e TOX.
Sembra che i bersagli dei cybercriminali siano servizi Remote Desktop pubblicamente esposti su Internet, quindi potrebbe essere sufficiente l’uso di un firewall e/o una VPN. La soluzione migliore è installare un software “all-in-one”, come Norton 360 Premium.
Ti potrebbe interessare
17 ott 2022