Bucbi es un ransomware que fue detectado por primera vez en 2014 y que, desde su primera detección, no se habían detectado de nuevo nuevas variantes ni nuevas campañas de distribución a gran escala, hasta ahora. Un grupo de investigadores de seguridad ha detectado nueva actividad relacionada con el grupo de piratas informáticos responsables de este ransomware, quienes están empezando de nuevo a infectar sistemas de forma remota haciendo uso de la fuerza bruta y el protocolo RDP.
Esta nueva versión de Bucbi es muy diferente a la versión detectada en 2014. Las principales diferencias detectadas entre ambas versiones son que el ransomware ahora funciona sin necesidad de estar conectado a un servidor C&C, se ha modificado la rutina de instalación y la nota de rescate. En cuanto a las similitudes, las cadenas de depuración del malware son las mismas, los nombres de los archivos muy similares y ambas versiones utilizan un cifrado por bloques GOST.
Bucbi infecta a los usuarios mediante ataques de fuerza bruta contra RDP
Por el momento no se conoce demasiada información sobre estos piratas informáticos, salvo que, aunque ellos aseguran ser ucranianos, en realidad todas las pistas apuntan a un origen ruso. Además, estos piratas informáticos no trabajan de forma organizada, sino que más bien son un grupo oportunista que hace uso de ataques de fuerza bruta contra equipos con el Escritorio Remoto de Windows habilitado, utilizando para ello la herramienta “RDP Brute (Coded by z668)“, para poder acceder de forma remota a los servidores vulnerables.
Analizando los registros RDP de los equipos comprometidos se ha podido ver cómo los atacantes han intentado iniciar sesión con nombres de usuario por defecto de un gran número de terminales punto de venta y de diferentes asistentes de ayuda preconfigurados en varios equipos de determinados vendedores. Este grupo de piratas informáticos no hace uso de ninguna técnica de hacking especial, ni ingeniería social, ni SPAM ni aprovecha ninguna vulnerabilidad, tan solo utiliza la fuerza bruta para que, si hay suerte, comprometer los sistemas a través de la herramienta de control remoto por defecto de Microsoft.
Por el momento no se conoce ninguna herramienta para recuperar los archivos codificados por Bucbi, por lo que las víctimas tendrán que esperar hasta que las empresas de seguridad encuentren alguna vulnerabilidad en el algoritmo utilizado, pero sobre todo recomendamos no pagar el rescate a fin de, además de evitar animar a los piratas informáticos a seguir con este tipo de malware, evitar perder, además de nuestros archivos, nuestro dinero.
Fuente:https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad