Usan una aplicación de escritorio remoto para enviar ransomware

Usan una aplicación de escritorio remoto para enviar ransomware

Javier Jiménez

Una nueva amenaza sacude a los usuarios de Windows. En este caso se trata de un ataque de ransomware que llega a través de la popular aplicación ConnectWise Control (que antes se llamaba ScreenConnect). Se trata de una aplicación muy utilizada para conectarse de forma remota a otros equipos. Especialmente es utilizada para obtener soporte. El objetivo de los piratas informáticos es infectar el equipo con el ransomware Zeppelin.

Utilizan ConnectWise Control para infectar con Zeppelin

Como sabemos el ransomware tiene como objetivo cifrar los equipos de las víctimas. Esto hace que sea una de las amenazas más importantes hoy en día. Es un tipo de malware que ha crecido en los últimos años pese a las mejoras de las herramientas de seguridad. Existen tipos muy distintos y la manera de infectar también lo es.

En este caso los piratas informáticos se basan en la aplicación de escritorio remoto ConnectWise Control. A través de este programa son capaces de infectar el sistema e introducir el ransomware Zeppelin. Esto provoca que los archivos de los usuarios puedan ser cifrados y perder el control de los mismos.

El objetivo de los usuarios con este tipo de malware es obtener beneficio económico a cambio de descifrar los archivos. Esto es algo que especialmente puede afectar a nivel empresarial. Precisamente esta herramienta de la que hablamos, ConnectWise Control, es muy utilizada por las empresas para acceder al uso compartido de archivos desde otros equipos.

Los investigadores de seguridad que han descubierto esta amenaza explican que afecta tanto a Estados Unidos como a Europa. La campaña va dirigida a sectores muy diversos y además están utilizando herramientas para robar información de los sistemas.

Problema de seguridad del ransomware

Cómo actúa el ransomware Zeppelin

Como hemos mencionado se distribuye a través de la aplicación de escritorio remoto ConnectWise Control. Posteriormente crea y ejecuta un archivo run.cmd oculto temporalmente que contiene los comandos ejecutados de forma remota. Más tarde, los atacantes ejecutan el comando PowerShell para descargar la siguiente etapa del comando desde el servidor C2 hxxp: //45.142.213 [.] 167 / oxf donde nuevamente conecta el servidor C2 para descargar el archivo de ransomware Zeppelin.

Los atacantes además tienen una lista de comandos para detener el proceso de la base de datos para evitar que las víctimas reemplacen la copia de seguridad con los datos infectados.

Cómo evitar ser víctimas de esta amenaza

Lo mejor para evitar ser víctimas de este tipo de problemas es mantener siempre los sistemas y aplicaciones actualizados. En ocasiones pueden surgir vulnerabilidades que son aprovechadas por los piratas informáticos para llevar a cabo sus amenazas. Es vital que tengamos los últimos parches y actualizaciones correctamente instalados. De esta forma podremos evitar la entrada de amenazas.

También es esencial que tengamos herramientas de seguridad. Un buen antivirus puede prevenir la entrada de malware en nuestro equipo. Además podremos analizar en busca de posibles archivos maliciosos que tengamos.

Pero algo que no puede pasar por alto es el sentido común. En muchos casos este tipo de amenazas llega después de errores que cometen los usuarios. Por ejemplo descargar archivos fraudulentos que nos envían por correo electrónico.