Af Eskil Sørensen, 20/10/22
En ny ransomware ved navn Venus Ransomware hacker sig ind i offentligt eksponerede Remote Desktop-tjenester for at kryptere Windows-enheder.
Det skriver Bleeping Computer.
Tilsyneladende har Venus Ransomware været i gang siden midten af august 2022, og fra det tidspunk har den krypteret ofre over hele verden ved at få adgang til et offers firmanetværk gennem Windows Remote Desktop-protokollen. Det er problematisk, eftersom enhver kan oprette en Remote Desktop-tjeneste, fx en it-serviceleverandør, der på en nem måde kan udføre serviceopgaver for sine kunder. Og er tjenesten ikke sikret, så kan Venus Ransomware få adgang.
Bleeping Computers journalist har kigget nærmere på ransomwaren og skriver, at den ser ud til at være rettet mod offentligt eksponerede Remote Desktop-tjenester, herunder dem, der kører på ikke-standard TCP-porte. Skal man beskytte sig mod angreb, er det derfor afgørende at placere Remote Desktop-tjenesterne bag en firewall.
Opnår Venus adgang, så er det typiske angrebsmønster, at ransomwaren vil forsøge at afslutte 39 processer forbundet med databaseservere og Microsoft Office-applikationer. Ransomwaren vil også slette hændelseslogfiler, Shadow Copy Volumes og deaktivere Data Execution Prevention.
Ransomwaren vil desuden oprette en note i %Temp% mappen, der automatisk vil blive vist, når ransomware er færdig med at kryptere enheden. Endelig deles en TOX-adresse og e-mailadresse, som kan bruges til at kontakte angriberen mhp. forhandling af en løsesumsbetaling. I slutningen af løsesumnote er der en base64-kodet tekst.
Bleeping Computer skriver, at Venus ransomware pt. er ret aktiv, og at der dagligt indsendes ransomware-meddelelser fra ofre til ID Ransomware. ID Ransomware er en tjeneste fra Malware Hunter Team, der hjælper ofre med at identificere hvilken type ransomware, der er anvendt til krypteringen af data.