Ransomware Venus cílí na veřejně přístupné služby vzdálené plochy

Zpět na blog

Aktéři hrozby stojící za relativně novým ransomwarem Venus se nabourávají do veřejně dostupných služeb vzdálené plochy a šifrují data na zařízeních se systémem Windows.

Ransomware Venus začal fungovat v polovině srpna 2022 a od té doby ohrožuje uživatele po celém světě. Od roku 2021 se však objevil další ransomware používající stejnou příponu šifrovaných souborů, ale není jasné, nakolik souvisejí s původní verzí ransomwaru. Na ransomware poprvé upozornil bezpečnostní analytik vystupující pod přezdívkou linuxct, který kontaktoval tým MalwareHunterTeam. Linuxct sdělil serveru BleepingComputeru, že aktéři hrozby získávají přístup do firemních sítí obětí prostřednictvím protokolu Windows Remote Desktop. Jedna z obětí uvedla, že k počátečnímu přístupu do její sítě byl použit protokol RDP, a to i v případě, že pro tuto službu bylo použito nestandardní číslo portu.

Jak Venus šifruje zařízení se systémem Windows

Po spuštění se ransomware Venus pokusí ukončit procesy spojené s databázovými servery a aplikacemi Microsoft Office.

V každém zašifrovaném souboru ransomware přidá na konec souboru značku „goodgamer“ a další informace. Venus sdílí adresu TOX a e-mailovou adresu, kterou lze použít ke kontaktování útočníka za účelem vyjednání platby výkupného.

Ransomware vytvoří ve složce %Temp% poznámku HTA s výkupným, která se automaticky zobrazí po dokončení šifrování zařízení.

V současné době je ransomware Venus poměrně aktivní a denně jsou na ID Ransomware nahrávány nové příspěvky.

Vzhledem k tomu, že ransomware zřejmě cílí na veřejně vystavené služby vzdálené plochy, a to i ty, které běží na nestandardních portech TCP, je nezbytné tyto služby umístit za firewall.

V ideálním případě by žádné služby vzdálené plochy neměly být veřejně vystaveny do internetu a měly by být přístupné pouze prostřednictvím sítě VPN.

Zdroj: Bleeping Computer

19. 10. 2022