Microsoft ha advertido sobre los peligros del ransomware PonyFinal


Microsoft advirtió a las organizaciones sobre los peligros del ransomware PonyFinal, cuyos ataques ya se han registrado en India, Irán y Estados Unidos.

El malware está basado en Java y se usa para ataques que dirigen manualmente las declaraciones de PonyFinal. Es decir, los piratas informáticos irrumpen en las redes corporativas y colocan manualmente el ransomware allí, y no distribuyen el cifrador automáticamente, a través de correo no deseado o kits de explotación, como suele ser el caso.

Microsoft informa que, como regla, el punto de invasión es la cuenta en el servidor de administración del sistema, donde los operadores de PonyFinal invaden con la ayuda de ataques de fuerza bruta y la selección de contraseñas débiles. En el servidor, los piratas informáticos implementan un script de Visual Basic que ejecuta el shell inverso de PowerShell para recopilar y robar datos.

Habiendo penetrado en la red de la compañía objetivo, los atacantes propagaron la infección a otros sistemas locales, y luego introdujeron el ransomware PonyFinal. En la mayoría de los casos, los piratas informáticos atacan las estaciones de trabajo en las que está instalado Java Runtime Environment (JRE), ya que PonyFinal está escrito en Java. Pero los expertos de Microsoft señalan que también registraron casos en los que el grupo instaló independientemente JRE en los sistemas de las víctimas antes de lanzar el ransomware.

Los archivos cifrados con PonyFinal suelen tener la extensión .enc. El esquema de cifrado PonyFinal se considera confiable, es decir, si bien no hay formas y herramientas gratuitas para descifrar los datos afectados.

Según los expertos en seguridad de la información Michael Gillespie y MalwareHunterTeam, el ransomware PonyFinal apareció a principios de este año, y hasta ahora pocas empresas han sufrido su actividad, lo que solo confirma la teoría de que PonyFinal se usa en ataques dirigidos contra objetivos cuidadosamente seleccionados.

El especialista en Emsisoft, Michael Gillespie, señala que los usuarios que subieron muestras de malvari a ID-Ransomware para su identificación se encontraban en India, Irán y Estados Unidos.

Según Microsoft, PonyFinal está en la lista corta de ransomware administrado por operadores en vivo. Recientemente, dicho malware se ha utilizado repetidamente contra organizaciones del sector de la salud, a pesar de la pandemia actual del coronavirus. Además de PonyFinal, esta lista incluye: RobbinHood, NetWalker, Maze, REvil (Sodinokibi), Paradise, RagnarLocker, MedusaLocker y LockBit.



No olvides Compartir... 
Siguenos en twitter: @disoftin - @fredyavila

Publicar un comentario

0 Comentarios