RobbinHood Ransomware es el cifrado de red más popular de todos los tiempos

RobbinHood es pionero en su espacio. El infame grupo de ransomware ha causado bastante daño en ciudades como Baltimore, Greenville, Maryland y Carolina del Norte en el pasado, costándoles millones de dólares. Los principales objetivos del grupo son las organizaciones y no simplemente las personas, ya que las primeras aportan más fondos que las segundas.

¡Uno de los principales grupos de ransomware!

RobbinHood es una de las entidades más buscadas en el espacio de ransomware, seguida por los grupos Locky, Cerber, Maze, WannaCry, Ryuk. Si bien la mayoría de ellos se dirigen a individuos, RobbinHood ataca grandes redes, tanto corporativas como gubernamentales. Cómo acumula sumas fijas en lugar de centavos.

RobbinHood ransomware
RobbinHood ransomware

Los ataques que realizan son de métodos simples y conocidos, y el ransomware que solicitan varía según el tamaño de la red. Esto puede ser 3 bitcoins (para una sola computadora) para 13 bitcoins para toda una red. Sin embargo, esta suma puede depender completamente de la parte, la sensibilidad de los datos cifrados y el tamaño de la red. En el caso de Baltimore, la ciudad pagó a RobbinHood una cantidad de 13 Bitcoin ($ 80,000) para recuperar su red, pero tuvo que arreglar todas las vulnerabilidades que costaron más de $ 10 millones.

RobbinHood, como parte de su operación para obtener acceso interno, debe explorar la Protocolo de escritorio remoto (RDP) de sistemas mediante ataques de fuerza bruta o descargando troyanos a través de correos electrónicos de phishing. Esto les permitiría explotar un controlador de kernel vulnerable en las placas base de Gigabyte, que no está señalado por ningún software ya que Windows lo acepta como un competidor legítimo al verificar la firma de Gigabyte.

Este acceso puede ayudar a un atacante a detener varios servicios, como software antivirus, deshabilitar la copia de seguridad, eliminar archivos, borrar registros de eventos, etc. Y cuando se configura con todo eso, comienza a cifrar los archivos y les cambia el nombre como Encriptado_[randomstring].enc_robbinhood
Además, deja C: archivos de disco para que el sistema funcione, al menos, y permitir que la víctima encuentre su solicitud de rescate.

Evitar RobbinHood o, en este caso, cualquier tipo de ataque puede ser sencillo. Tener equipos de TI efectivos en todas las organizaciones debería evitar la mayoría de los problemas, ya que deben monitorear las comunicaciones que tienen lugar a través de RDP y bloquear todos los puertos no utilizados. Además, la aplicación de los últimos parches de los proveedores y el mejor software antivirus pueden ayudar a prevenir estos ataques.

Fuente – MalwareBytes