El equipo de seguridad de Microsoft ha emitido hoy un aviso a las organizaciones de todo el mundo para implementar protecciones contra una nueva variedad de ransomware que ha estado presente en los últimos dos meses.
«PonyFinal es un ransomware basado en Java que se despliega en ataques ransomware operados por humanos», dijo Microsoft en una serie de tweets publicados hoy.
Un ransomware operado por el ser humano es una vertiente de la categoría ransomware. En los ataques ransomware operados por humanos, los piratas informáticos violan las redes corporativas y despliegan el ransomware ellos mismos.
Los ataques ransomware que hemos visto en el pasado, este era distribuido a través de correo electrónico o exploit kits, donde el proceso de infección se basa en engañar a los usuarios en el lanzamiento del propio ransomware.
Como funciona PonyFinal
Microsoft ha indicado que ha estado rastreando incidentes donde el ransomware PonyFinal se ha desplegado. Por el momento, no ha habido casos en España, México y otros países de habla hispana pero os mantendremos informados.
El punto de entrada suele ser una cuenta en el servidor de gestión de sistemas de una empresa, este es el punto que la gente de PonyFinal utiliza mediante ataques de fuerza bruta que adivinan contraseñas débiles.
Una vez dentro, Microsoft dice que la banda PonyFinal implementa un script de Visual Basic que ejecuta un shell inverso de PowerShell para volcar y robar datos locales. Además, los operadores de ransomware también implementan «un sistema manipulador remoto para eludir el registro de eventos.»
Una vez el equipo de PonyFinal entiende y comprende la red que está atacando, se propagan a otros sistemas locales y despliegan el verdadero ransomware, el PonyFinal real.
En la mayoría de los casos, los atacantes se dirigen a estaciones de trabajo donde está instalado Java Runtime Environment (JRE), ya que PonyFinal está escrito en Java. Pero Microsoft dice que también ha visto casos donde la banda instaló JRE en los sistemas antes de ejecutar el ransomware.
Microsoft dice que los archivos cifrados con el ransomware PonyFinal tienen una extensión de archivo adicional «.enc».
La nota de rescate se llama generalmente README_files.txt. Es un archivo de texto simple que contiene instrucciones de pago de rescate. Podéis ver la información de esta nota en la imagen a continuación.
El esquema de cifrado del ransomware se considera seguro. No hay ninguna manera conocida o un descifrador para recuperar los archivos, al menos por el momento.
Las víctimas se concentran en India, Irán y Estados Unidos
Según Michael Gillespie y MalwareHunterTeam, dos de los individuos detrás del portal de identificación ransomware ID-Ransomware. El ransomware PonyFinal surgió por primera vez a principios de este año y cuenta con muy pocas víctimas. Esto confirma su ataque dirigido contra objetivos cuidadosamente seleccionados.
Pero, que Microsoft lo haya considerado demuestra que su riesgo es muy elevado como para pasarlo por alto. Os recomendamos el máximo cuidado, nunca se sabe quien podría ser la próxima víctima.
