Fecha de publicación: octubre 2, 2019 5:40 pm Nivel de importancia: Alta
Descripción
- El vector de infección inicial para este malware parece ser mediante los servicios de escritorio remoto (RDP), y otros vectores que pueden incluir spam de correo electrónico y archivos adjuntos maliciosos.
El malware inicialmente se podrá en contacto con un servidor de comando y control para indicar su disponibilidad para cifrar los contenidos en el sistema destino. Encriptara los archivos y los marcara insertando la cadena “tflower” al inicio del archivo sin cambiar el nombre. Luego actualizara el servidos C2 y dejara el mensaje de rescate.
Remendaciones
- Actualizar software y sistemas operativos con los últimos parches de seguridad.
- Realizar respaldos de información periódicos separados.
- Restringir los permisos de los usuarios para la instalación de software.
- Aplicar el principio del mínimo privilegio a todos los sistemas y servicios.
- Configurar firewalls para bloquear el acceso a direcciones IP maliciosas conocidas.
Solución
- CCCS Alert on Critical Remote Desktop Vulnerability: https://cyber.gc.ca/en/alerts/critical-microsoft-remote-desktop-vulnerability/