Pulse Secure VPN, vulnerable a un nuevo ransomware

Hacer uso de una VPN es algo que está muy presente entre los usuarios. Son muchas las opciones que tenemos a nuestra disposición. Podemos contar con versiones de pago, gratuitas, multiplataforma… Sin embargo en ocasiones pueden suponer un problema. Hoy nos hacemos eco de un problema que afecta a Pulse Secure VPN, que es una de las más populares. Concretamente es vulnerable a un nuevo ransomware denominado Black Kingdom.

Pulse Secure VPN vulnerable al ransomware Black Kingdom

Como hemos mencionado, Pulse Secure VPN es hoy en día una de los servicios más populares. Muchos usuarios lo utilizan para cifrar sus conexiones, poder acceder a contenido restringido geográficamente, buscar anonimato… En definitiva, cuando hablamos de un problema que afecta a este tipo de herramientas puede poner en riesgo a muchos usuarios.

En este caso se trata de una vulnerabilidad que permite la entrada del ransomware Black Kingdom. Los atacantes están poniendo sus miras en los usuarios que utilizan este servicio VPN sin parchear.

Un grupo de investigadores de seguridad lograron atrapar el malware a través de un honeypot y de esta forma analizar el problema. El modus operandi consiste en explotar la vulnerabilidad CVE-2019-11510, que está presente en versiones de Pulse Secure VPN sin parchear desde abril de 2019.

El problema es que muchas compañías, así como usuarios particulares, mantienen versiones inseguras de este tipo de herramientas. Eso es un problema, como hemos visto en muchas ocasiones. El hecho de no contar con los últimos parches y actualizaciones puede poner en riesgo nuestros equipos y facilitar la entrada de amenazas.

Los atacantes explotan esta vulnerabilidad presente en Pulse Secure VPN para lanzar el ransomware Black Kingdom. Este ransomware se hace pasar por una tarea programada y legítima de Google Chrome.

Esa tarea programada ejecuta un código de cadena codificado en Base64 en una ventana oculta de PowerShell para buscar un script llamado «reverse.ps1» que probablemente se usa para abrir un shell inverso en el host comprometido.

Black Kingdom, una amenaza reciente

Hay que indicar que Black Kingdom es una amenaza que fue descubierta en febrero. El objetivo es el que tiene siempre el ransomware: cifrar los archivos y posteriormente pedir un rescate económico a la víctima para que puedan acceder a ellos.

Una vez logran infectar el equipo de la víctima lanzan un mensaje donde explican el proceso a seguir para recuperar los archivos. Básicamente muestran la información relacionada con el pago, la cantidad que deben abonar, los medios, etc.

El ransomware se ha convertido en los últimos años en un problema importante tanto para usuarios particulares como para empresas. Es algo que está realmente presente y por ello debemos tomar siempre medidas para evitar que nuestros equipos se vean comprometidos. Son muchas las amenazas que hay en la red y el sentido común debe ser algo fundamental para proteger nuestros equipos.

Como hemos visto, en este caso el problema lo podemos solucionar simplemente con actualizar Pulse Secure VPN. Es vital que siempre contemos con las últimas versiones y podamos así corregir vulnerabilidades. Podéis ver algunos consejos sobre cómo elegir el mejor VPN.

Os dejamos un artículo donde hablamos de las diferencias entre crypto ransomware y locker ransomware. Un repaso por las peculiaridades principales de estas dos variedades que tiene un objetivo común.