I ransomware sono senza dubbio alcuno tra le minacce informatiche più diffuse e temute. In circolazione ne esistono tantissime tipologie e tante altre, purtroppo, andranno ad aggiungersene. A questo proposito, i ricercatori di MalwareHunterTeam hanno comunicato di aver scoperto una campagna che sfrutta i servizi di desktop remoto per distribuire il ransomware denominato Venus sui sistemi Windows.
Ransomware: Venus sfrutta i servizi Remote Desktop
La distribuzione sembra aver preso il via a metà agosto dell’anno corrente e da allora il ransomware ha crittografato i sistemi di numerose vittime in tutto il mondo. C’era però un altro ransomware che sfruttava la medesima estensione di file crittografata nel 2021, ma al momento non è chiaro se vi sia una qualche correlazione.
Stando a quanto documentato, il ransomware riesce ad accedere alle reti delle aziende attraverso il protocollo Remote Desktop di Windows, anche se viene usato un numero di porta non standard, presumibilmente facendo leva su una o più vulnerabilità 0-Day.
Venus agisce cercando di terminare 40 processi associati a database, browser e applicazioni Office, disattiva le funzionalità Data Execution Prevention ed elimina i log degli eventi e le copie shadow dai volumi per far sparire ogni traccia della sua azione e impedire che possa essere effettuato il ripristino tramite backup.
Una volta completato il processo di cifratura, viene aggiunta ai file l’estensione .venus ed è mostrata una pagina HTA con i riferimenti da contattare per effettuare il pagamento per ottenere il decryptor.
Per evitare di andare incontro a questa e altre minacce informatiche è bene proteggere il proprio computer con un software antivirus efficace e capace di offrire una copertura completa, come nel caso dell’ottimo Norton 360 Premium.