- Los atacantes solicitan a las víctimas el pago de 0.09981 BTC, unos 900 €, para poder descifrar sus datos.
- A diferencia de los ataques de phishing, el uso de estas conexiones pone al atacante en control, ya que no tiene que esperar a que la víctima muerda el anzuelo.
Un nuevo ransomware, llamado Nemty, ha sido descubierto durante el pasado fin de semana. Como cualquier malware con cifrado de archivos, la primera versión de este código dañino elimina las copias ocultas (shadow copies) de los archivos que procesa, quitándole a la víctima la posibilidad de recuperar las versiones de los datos creadas por el sistema operativo Windows.
Las víctimas verán una nota de rescate informando que los atacantes tienen la clave de descifrado y que los datos son recuperables por un precio: 0.09981 BTC, lo que a día de hoy tiene un valor aproximado de 900 €. Para facilitar el anonimato, el portal de pago se encuentra alojado en la red Tor, donde los usuarios tienen que subir su archivo de configuración. En base a esto, se les proporciona un enlace a otro sitio web, el cual incluye un chat, a través del cual reciben más información sobre las demandas.
Aunque no está del todo claro cómo se distribuye Nemty, el investigador de seguridad Vitali Kremez asegura que los operadores lo despliegan a través de conexiones a escritorio remoto comprometidas del mismo.
En comparación con los ataques de phishing a través de correo electrónico, método de distribución más común, el aprovechamiento de una conexión RDP (Remote Desktop Protocol) pone al atacante en control, ya que no tiene que esperar a que la víctima muerda el anzuelo de phishing.
BleepingComputer (26/08/19)
