Ransomware RDP (Caos)
El ransomware es uno de los tipos de malware más amenazantes y perjudiciales, con el potencial de causar daños significativos tanto a usuarios individuales como a organizaciones. Una vez instalado en un sistema, el ransomware cifra los datos críticos y los mantiene como rehenes hasta que se paga un rescate. En esta era digital, donde nuestros dispositivos contienen grandes cantidades de datos confidenciales y valiosos, la protección contra las infecciones por ransomware no solo es importante, sino esencial. Una de estas cepas, el ransomware RDP (Chaos), representa una amenaza persistente capaz de bloquear a los usuarios y de impedirles acceder a sus datos y exigir un pago a cambio de una herramienta de descifrado.
Exploremos cómo funciona este ransomware, los métodos sospechosos utilizados para propagarlo y cómo protegerse mejor para no convertirse en víctima.
Tabla de contenido
¿Qué es el ransomware RDP (Chaos)?
El ransomware RDP (Chaos) es parte de la infame familia Chaos Ransomware . Este programa inseguro encripta los datos del usuario, agregando la extensión '.encrypted' a los archivos afectados. Por ejemplo, una foto llamada 1.jpg se convierte en 1.jpg.encrypted después del ataque. Una vez que se completa el proceso de encriptación, el malware cambia el fondo de pantalla del escritorio de la víctima y coloca una nota de rescate en un archivo titulado ' r ead_it.txt'. La nota informa al usuario que la única forma de recuperar sus archivos es pagar 50 USD en criptomonedas, como Bitcoin, Litecoin, Ethereum o Solana.
Lo que hace que este ransomware sea particularmente dañino es su eficiencia para hacer que los archivos del usuario sean inaccesibles y la demanda de criptomonedas, lo que hace que rastrear y recuperar los pagos sea casi imposible.
Tácticas de distribución intrusivas
El ransomware, incluida la variante RDP (Chaos), suele infiltrarse en los dispositivos a través de varios métodos furtivos y cuestionables. Si bien puede parecer que una infección requiere una descarga imprudente, la realidad es que incluso los usuarios más cautelosos pueden ser engañados. Estas son algunas de las técnicas más comunes que se emplean:
- Explotación de vulnerabilidades del Protocolo de escritorio remoto (RDP): los atacantes suelen atacar dispositivos que tienen habilitado el Protocolo de escritorio remoto (RDP), especialmente si están mal configurados o tienen contraseñas débiles. Las organizaciones suelen utilizar el RDP para permitir el acceso remoto a los sistemas, pero sin las medidas de seguridad adecuadas, se convierte en una puerta de entrada para que los atacantes propaguen ransomware. RDP (Chaos) puede forzar credenciales débiles o explotar vulnerabilidades en sistemas sin parches para obtener acceso e instalar el ransomware.
- Correos electrónicos de phishing: una de las formas más comunes en que se propaga el ransomware es a través de campañas de phishing. Los usuarios pueden recibir correos electrónicos aparentemente legítimos con archivos adjuntos o enlaces que, una vez abiertos, activan la instalación del ransomware. Los cibercriminales detrás de RDP (Chaos) pueden usar este método para distribuir su malware, camuflando la carga útil en archivos con nombres como facturas, ofertas de trabajo o incluso notificaciones de entrega.
- Anuncios fraudulentos (malvertising): otra vía de distribución son los anuncios fraudulentos. Los usuarios desprevenidos pueden hacer clic en un anuncio aparentemente inofensivo, que los redirige a un sitio web comprometido o descarga automáticamente el ransomware en su sistema. Esta táctica se aprovecha de los usuarios que navegan por sitios web sin bloqueadores de anuncios sólidos ni medidas de seguridad.
- Agrupamiento de software: el ransomware puede estar integrado en descargas de software aparentemente legítimas, en particular, software gratuito o pirateado. Los usuarios que descargan dichos programas sin examinar su origen o verificar su legitimidad pueden instalar sin saberlo el ransomware junto con el software deseado. En algunos casos, el malware puede estar oculto en actualizaciones o parches de software falsos, lo que oculta aún más su intención maliciosa.
El impacto del ransomware RDP (Chaos)
Una vez que RDP (Chaos) infecta un sistema, su proceso de cifrado hace que los archivos queden inutilizables. Los tipos de archivos más comunes, incluidos documentos, imágenes y vídeos, están en riesgo, y las versiones cifradas reciben la extensión .encrypted. La nota de rescate que acompaña al ataque no solo exige el pago, sino que también aumenta la presión psicológica sobre las víctimas al enfatizar la imposibilidad de recuperación sin pagar por el software de descifrado.
Si bien el precio (50 USD) parece bajo, está diseñado deliberadamente para incitar a las víctimas a pagar rápidamente, especialmente si los datos retenidos como rehenes son valiosos. Sin embargo, pagar el rescate no garantiza que los atacantes proporcionen una herramienta de descifrado que funcione y, en muchos casos, las víctimas se quedan sin sus datos incluso después de cumplir con las exigencias.
Cómo protegerse de los ataques de ransomware
Si bien el ransomware es una amenaza grave, existen algunas medidas que puede aplicar para minimizar el riesgo de infección. A continuación, le indicamos cómo puede proteger sus datos y su dispositivo:
- Mantenga actualizado su software: si actualiza periódicamente sus programas de seguridad, sistema operativo y software, se asegurará de que su dispositivo tenga los parches de seguridad más recientes. El ransomware suele explotar vulnerabilidades conocidas y mantenerse actualizado puede cerrar esas brechas de seguridad.
- Reforzar la seguridad del protocolo de escritorio remoto (RDP): si necesita utilizar el protocolo de escritorio remoto (RDP), asegúrese de que esté protegido adecuadamente. Esto incluye el uso de contraseñas seguras y únicas, la habilitación de la autenticación de dos factores (2FA) y la restricción del acceso únicamente a direcciones IP de confianza.
- Tenga cuidado con los archivos adjuntos y enlaces de correo electrónico: los correos electrónicos de phishing son un vector de ataque común. Maneje los correos electrónicos no solicitados, especialmente aquellos con archivos adjuntos o enlaces, con mucho cuidado, incluso si parecen legítimos. Si no está seguro, verifique la identidad del remitente antes de interactuar con el correo electrónico.
- Copias de seguridad periódicas: realizar copias de seguridad de sus datos con frecuencia y almacenarlas sin conexión o en un servicio en la nube que no esté conectado a su sistema principal le garantiza que podrá recuperar sus datos sin necesidad de pagar un rescate. En caso de un ataque, tener copias de seguridad accesibles es su mejor defensa.
- Utilice medidas de seguridad sólidas: invierta en un programa antimalware de confianza que ofrezca protección en tiempo real. Muchas suites de seguridad ofrecen funciones de protección contra ransomware que pueden descubrir y bloquear estas amenazas antes de que puedan causar daños.
El ransomware como el RDP (Chaos) es una amenaza grave para cualquier persona conectada a Internet. Si comprende cómo se distribuye el ransomware y toma medidas proactivas para proteger sus dispositivos, el riesgo de sufrir un ataque se puede reducir significativamente. La clave es la vigilancia, mantener prácticas de seguridad razonables y mantener siempre copias de seguridad de sus datos críticos. Cuando se trata de ransomware, siempre es mejor prevenir que curar.
El mensaje de rescate que verán las víctimas del RDP (Caos) dice:
'All of your files have been encrypted
Your computer was infected with a ransomware and RDP virus.
Your files and data have been encrypted and you won't be able to decrypt them without our help.
What can I do to get my files back?
You can buy our special decryption software, this software will allow you to recover all of your data and remove the
ransomware from your computer.
The price for the software is $50.
Payment can be made in Crypto only.
How do I pay, where do I get Crypto?
Purchasing Crypto varies from country to country, you are best advised to do a quick google search
yourself to find out how to buy Crypto.
Many of our customers have reported these sites to be fast and reliable:
Cashapp, Coinbase, bicance, Paypal, Kraken
Once the payment has been made you can email us and a Decryption key will be sent to you.
All Restore Points, Shadow Coppies and recovery mode on ur computer have been deleted/disabled
Clients Must pay or sadly ALL data and files are lost, PC Reset will resualt in disabling windows operations
If you have any questions please email us, but also remember, we dont make this Ransomeware, just the decryption keys.
Email: foheg17549@marchub.com
Payment Amount: $50.00
Bitcoin Address: 17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV
Litecoin Address Lg6PmtU6vusUH3DhYR4QL6h2UtLkzwHrfL
Ethereum Address: 0x2ad0e5ABc63d003448Fbe03f580Aa30e5E831d09
Solana Address: 7iKLcDfUqJrbkFk7V17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV'